Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!

На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.

Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.

Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.

Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.

#Pentest #DevSecOps #AI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

– Баян – скажите вы.
– Классика – возражу я вам.

Сегодня предлагаем вам посетить онлайн магазин по продаже сока - Juice Shop.

В нём вы найдёте:
- целых 15 категорий уязвимостей, которые испытают ваши хакерские навыки;
- много часов практики;
- подробный гайд-компаньон, который поможет вам в исследовании данного приложения.

В нём вы не найдёте:
- сока.

Приложение локально разворачивается на вашем компьютере. Есть ещё демо-стенд, но он работает нестабильно, так что лучше сразу поднимать у себя.

#Pentest #AppSec #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Киберпанк наступает

За последние несколько месяцев крупные ИИшные вендоры выкатили отчёты по использованию своих моделей в хакерских атаках.

Так, например, Claude используют для фейкового трудоустройства на работу в большие корпорации с целью кражи конфиденциальных данных. С помощью этой модели создавались фальшивые личности, которые успешно проходили технические задания и даже выполняли реальную работу после трудоустройства.

ChatGPT в большинстве случаев используют для разработки вредоносного ПО или фишинга. Из забавного, все кейсы в отчёте OpenAI имеют политический подтекст. Видимо, третья мировая война будет войной промптов в ChatGPT.

И самый технически интересный это отчёт от Google, так как в нём описывается интеграция LLM в процесс использования вредоносного ПО. Один из кейсов описывает использование дроппера, который может регенерироваться, переписывая исходный код. Делает он это с помощью взаимодействия с Gemini через API.

Ссылки на отчёты:
- Antrhropic
- OpenAI
- Google

#TI

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.

• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.

• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.

• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.

• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.

• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.

#DevSecOps #Pentest #AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас полезное для SOC - гайд по отслеживанию самых важных логов.

Это небольшая книжка, в которой автор рассказывает том, какие логи более критичны. В гайде затронуты следующие темы:
- Системные логи (Windows, Linux, macOS)
- Сетевые логи (Firewall, Роутеры, IDS/IPS)
- Логи приложений и баз данных
- Логи безопасности (антивирус, EDR, XDR)
- Облачные логи (AWS, Azure, GCP)
- Логи контейнеров (Docker, Kuber)
- Остальные (IoT, SCADA, OT)

Помимо самих логов, в книге также затронута тема лучших практик для обнаружения инцидентов. Особенно советуем к прочтению начинающим специалистам.

#SOC

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Около полугода назад релизнулась пятая версия OWASP ASVS. Делимся с вами русским переводом этого документа.

Сам по себе ASVS это стандарт для верификации безопасности приложений, грубо говоря чек-лист того, как надо делать, чтобы всё было безопасно. Всего в этом чек-листе 345 требований. Естественно, выполнить все эти требования это что-то из разряда невозможного, поэтому их разделили на 3 уровня:
- L1 минимальный;
- L2 стандартный;
- L3 продвинутый.

Документ подразумевает, что все приложения, обрабатывающие конфиденциальные данные, должны соответствовать как минимум уровню L2.

Требования разделены на 17 тем и все они касаются веб-приложений. Так что для построения полностью безопасной инфраструктуры этого документа будет недостаточно, но для конкретных приложений документик маст хэв.

#AppSec #API

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.

Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.

Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.

Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.

Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.

И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.

#Pentest #AppSec #AI #DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас археологический пост. Выкопали вам динозавра с ctf тасками от ребят из SPbCTF.

Помимо тасок на площадке также есть обучающие видео, презентации и статьи на тему заданий. Также есть рейтинг, по которому видно, что кто-то до сих пор решает задания на этой площадке.

Сейчас там новых заданий практически не появляется. Первые таски были выложены примерно в 2017-м году, а последняя, на данный момент, датируется 2024-м годом.

Но несмотря на вышесказанное, это по-прежнему отличная площадка для практики. На ней вы встретите следующие темы:
- Веб
- Крипта
- Форензика
- Реверс
- Бинарные уязвимости
- Разное (раздел с тасками, на все вышеперечисленные темы)

#Pentest #Practice

🧠 ПЗ | 👨‍🏫 Менторство ИБ
📂 Другие каналы