Самое время проверить себя и своих коллег на профпригодность.

Сегодня хотим рассказать вам о тесте Security Champion, который подскажет, какие моменты нужно подтянуть для прохождения предстоящих собесов.

Тест состоит из 20 вопросов, которые основаны на реальных кейсах взломов приложений. Вопросы посвящены следующим темам:
• Вывод информации в браузер (XSS)
• Обработка данных форм
• Предотвращение CRLF
• Предотвращение RCE
• Работа с SQL

В конце прохождения вам покажут диаграмму с оценкой скиллов по этим темам. Тест хоть и короткий, но вопросы интересные и сложные.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! В этот прекрасный понедельник продолжаем радовать вас интересными статьями с хабра за прошедшую неделю.

Сегодня наша подборка будет состоять в основном из теоретической базы по сетевым технологиям. Первая статья посвящена протоколу DNS и его надстройке DNSSEC.

Следующая статья посвящена протоколу HTTP, а точнее про работу кэширования в этом протоколе. В тексте подробно рассказано про:
- заголовки, связанные с кэшированием;
- определение возраста ответа с примерами;
- распространённые мифы и заблуждения.

Дальше у нас идёт текст про технологию WiFi. В статье освящаются протоколы безопасности (WPA2, WPA3), их различие и современные методы аутентификации.

Ну и под конец парочка статей более практической направленности:
- Разбор уязвимости Blind LDAP Injection на примере CTF таска;
- Разбор пентеста пет-проекта. Хорошая статья, в которой качественно описаны отчёты об уязвимостях.

#BaseSecurity #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня нашли для вас сервис с практическими лабами для синей команды - CyberDefenders.

Лабы делятся на следующие категории:
• Malware Analysis
• Threat Intel
• Network Forensics
• Endpoint Forensics
• Detection Engineering
• Threat Hunting
• Cloud Forensics

По последним трём темам к сожалению бесплатных лаб нет. Но зато на остальные темы вы сможете найти больше 80-ти заданий без подписки. Есть ещё задачи в разделе Trial, это премиум лабы, которые доступны бесплатно. Их всего 10, но неизвестно пополняется ли этот раздел или нет.

В остальном, платформа стандартная, есть райтапы к лабам, очки за прохождение активных машин, ну и сопутствующая таблица лидеров.

#MalwareAnalyst #SOC #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

В этот прекрасный пятничный день загрузим вас всякими большими и сложными табличками! А вы как думали, завтра работаем.

Это модель, отражающая зрелость процессов ИБ. Собрана она аж из пяти стандартов: COBIT 4.1/5, ISO 27001:2013, NIST Cybersecurity Framework, DNB 2017 и BIO 2019.

Сама модель делится на 15 аспектов, которые в свою очередь делятся на конкретные элементы. На практике это выглядит следующим образом:

Существует основной аспект, допустим "Управление инцидентами/проблемами". Данный аспект состоит из следующих элементов:
- Управление инцидентами;
- Эскалация инцидента;
- Реагирование на инциденты;
- Управление проблемами.

Далее у каждого элемента оценивается уровень зрелости. Всего уровней пять - от хаотичного процесса до максимального контроля и эффективности. Каждый уровень сопровождается подробным описанием для конкретного элемента.

Более подробно модель описана в данной статье.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

OpenAI решили объединить два тренда 2025-го года - безопасность и AI-агентов. В итоге получился Aardvark - агент, который анализирует исходный код на предмет уязвимостей.

Судя по всему, это такой очень умный SAST, который и код проанализирует, и юнит-тесты напишет, и даже закинет коммит, который исправляет найденные уязвимости.

На бумаге, как всегда, всё выглядит хорошо, посмотрим как будет на практике. Пока что инструмент раскатывают в закрытой бете, на которую можно записаться по ссылке.

#AI #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Зацените, что за красота 🤩

Тут у Security Vision в их материале для студентов есть интересные статейки.

Они расписали вопросы для собеседований и кейсы вместе с правильными ответами. Заучивать наизусть конечно будет излишне, но ознакомиться точно не помешает, чтобы примерно понимать, что вас ждёт на собесе.

Статьи доступные по следующим специальностям:
- Архитектор безопасности
- Аналитик IT-безопасности
- Специалист SOC
- Администратор систем безопасности
- Программист систем защиты ИБ
- Инженер ИБ
- Инженер по тестированию ПО
- Консультант по ИБ
- Разработчик ПО в сфере кибербезопасности

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Под конец короткой рабочей недели ещё должны остаться силы, а значит можно ознакомиться с имбой для аппсеков - Secure Coding Handbook.

В этом документе есть рекомендации и лучшие практики по безопасному коду в контексте веб приложений. Эти рекомендации разделяются на 4 раздела:
- клиентсткие уязвимости;
- уязвимости сервера;
- уязвимости API;
- остальное (зависимости, десериализация, логирование).

Помимо этого в хэндбуке есть много ссылок на практику и документацию на разные фреймворки и инструменты.

#AppSec #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.

Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).

Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.

От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.

Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.

#AppSec #DevSecOps #Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей.

Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.

Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!

На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.

Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.

Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.

Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.

#Pentest #DevSecOps #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

– Баян – скажите вы.
– Классика – возражу я вам.

Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.

В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.

В нём вы не найдёте:
- сока.

Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.

#Pentest #AppSec #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Киберпанк наступает

За последние несколько месяцев крупные ИИшные вендоры выкатили отчёты по использованию своих моделей в хакерских атаках.

Так, например, Claude используют для фейкового трудоустройства на работу в большие корпорации с целью кражи конфиденциальных данных. С помощью этой модели создавались фальшивые личности, которые успешно проходили технические задания и даже выполняли реальную работу после трудоустройства.

ChatGPT в большинстве случаев используют для разработки вредоносного ПО или фишинга. Из забавного, все кейсы в отчёте OpenAI имеют политический подтекст. Видимо, третья мировая война будет войной промптов в ChatGPT.

И самый технически интересный это отчёт от Google, так как в нём описывается интеграция LLM в процесс использования вредоносного ПО. Один из кейсов описывает использование дроппера, который может регенерироваться, переписывая исходный код. Делает он это с помощью взаимодействия с Gemini через API.

Ссылки на отчёты:
- Antrhropic
- OpenAI
- Google

#TI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.

• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.

• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.

• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.

• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.

• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.

#DevSecOps #Pentest #AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы