Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.

Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).

Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.

От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.

Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.

#AppSec #DevSecOps #Pentest #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей.

Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.

Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!

На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.

Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.

Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.

Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.

#Pentest #DevSecOps #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

– Баян – скажите вы.
– Классика – возражу я вам.

Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.

В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.

В нём вы не найдёте:
- сока.

Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.

#Pentest #AppSec #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Киберпанк наступает

За последние несколько месяцев крупные ИИшные вендоры выкатили отчёты по использованию своих моделей в хакерских атаках.

Так, например, Claude используют для фейкового трудоустройства на работу в большие корпорации с целью кражи конфиденциальных данных. С помощью этой модели создавались фальшивые личности, которые успешно проходили технические задания и даже выполняли реальную работу после трудоустройства.

ChatGPT в большинстве случаев используют для разработки вредоносного ПО или фишинга. Из забавного, все кейсы в отчёте OpenAI имеют политический подтекст. Видимо, третья мировая война будет войной промптов в ChatGPT.

И самый технически интересный это отчёт от Google, так как в нём описывается интеграция LLM в процесс использования вредоносного ПО. Один из кейсов описывает использование дроппера, который может регенерироваться, переписывая исходный код. Делает он это с помощью взаимодействия с Gemini через API.

Ссылки на отчёты:
- Antrhropic
- OpenAI
- Google

#TI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.

• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.

• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.

• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.

• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.

• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.

#DevSecOps #Pentest #AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас полезное для SOC - гайд по отслеживанию самых важных логов.

Это небольшая книжка, в которой автор рассказывает том, какие логи более критичны. В гайде затронуты следующие темы:
- Системные логи (Windows, Linux, macOS)
- Сетевые логи (Firewall, Роутеры, IDS/IPS)
- Логи приложений и баз данных
- Логи безопасности (антивирус, EDR, XDR)
- Облачные логи (AWS, Azure, GCP)
- Логи контейнеров (Docker, Kuber)
- Остальные (IoT, SCADA, OT)

Помимо самих логов, в книге также затронута тема лучших практик для обнаружения инцидентов. Особенно советуем к прочтению начинающим специалистам.

#SOC

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Около полугода назад релизнулась пятая версия OWASP ASVS. Делимся с вами русским переводом этого документа.

Сам по себе ASVS это стандарт для верификации безопасности приложений, грубо говоря чек-лист того, как надо делать, чтобы всё было безопасно. Всего в этом чек-листе 345 требований. Естественно, выполнить все эти требования это что-то из разряда невозможного, поэтому их разделили на 3 уровня:
- L1 минимальный;
- L2 стандартный;
- L3 продвинутый.

Документ подразумевает, что все приложения, обрабатывающие конфиденциальные данные, должны соответствовать как минимум уровню L2.

Требования разделены на 17 тем и все они касаются веб-приложений. Так что для построения полностью безопасной инфраструктуры этого документа будет недостаточно, но для конкретных приложений документик маст хэв.

#AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.

Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.

Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.

Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.

Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.

И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.

#Pentest #AppSec #AI #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас археологический пост. Выкопали вам динозавра с ctf тасками от ребят из SPbCTF.

Помимо тасок на площадке также есть обучающие видео, презентации и статьи на тему заданий. Также есть рейтинг, по которому видно, что кто-то до сих пор решает задания на этой площадке.

Сейчас там новых заданий практически не появляется. Первые таски были выложены примерно в 2017-м году, а последняя, на данный момент, датируется 2024-м годом.

Но несмотря на вышесказанное, это по-прежнему отличная площадка для практики. На ней вы встретите следующие темы:
- Веб
- Крипта
- Форензика
- Реверс
- Бинарные уязвимости
- Разное (раздел с тасками, на все вышеперечисленные темы)

#Pentest #Practice

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы