Использование python в web как альтернативу JS
Именно та ситуация, когда вместо JavaScript на веб-страницах можно использовать подкапотный Python который может работать с DOM (Document Object Model) и прям использовать конструкции типа:
…
….
Прямо в теле страницы… https://brython.info
Один из примеров (помимо того, что есть в их вики и галереи примеров) как можно использовать brython:
http://raspberry-python.blogspot.com/2013/08/a-python-interactive-console-in-my-blog.html
Именно та ситуация, когда вместо JavaScript на веб-страницах можно использовать подкапотный Python который может работать с DOM (Document Object Model) и прям использовать конструкции типа:
…
from browser import documentdef show_text(e):document['output'].textContent = e.target.value;document['text'].bind('input', show_text)….
Прямо в теле страницы… https://brython.info
Один из примеров (помимо того, что есть в их вики и галереи примеров) как можно использовать brython:
http://raspberry-python.blogspot.com/2013/08/a-python-interactive-console-in-my-blog.html
Blogspot
A python interactive console in my blog
Brython modes I had prepped a presentation on Brython for a Python conference and didn't want that to go to waste, so now, dear reader, yo...
Twitter names famed hacker 'Mudge' as head of security
Тот случай, когда хакер может возглавить (уже возглавил) службу безопасности Twitter
https://www.reuters.com/article/idUSKBN27W2MB
Тот случай, когда хакер может возглавить (уже возглавил) службу безопасности Twitter
https://www.reuters.com/article/idUSKBN27W2MB
Reuters
Twitter names famed hacker 'Mudge' as head of security
Social media giant Twitter Inc, under increased threat of regulation and plagued by serious security breaches, is appointing one of the world's best-regarded hackers to tackle everything from engineering missteps to misinformation.
Cisco Security Manager Path Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
Cisco
Cisco Security Advisory: Cisco Security Manager Path Traversal Vulnerability
A vulnerability in Cisco Security Manager could allow an unauthenticated, remote attacker to gain access to and modify sensitive information on the affected device.
The vulnerability is due to improper validation of directory traversal character sequences…
The vulnerability is due to improper validation of directory traversal character sequences…
Подборка бесплатных курсов по сертификации Google, Alibaba, IBM, Amazon и просто AI/ML/NLP
Ниже просто приведу названия крусов + ссылки на них
• AI For Everyone
• Natural Language Processing Specialization
• Deep Learning Specialization
• Getting Started with AWS Machine Learning
• AWS Fundamentals Specialization
• Alibaba Cloud Computing Specialization
• Google IT Automation with Python Professional Certificate
• SRE and DevOps Engineer with Google Cloud Professional Certificate
• Google IT Support Professional Certificate
• Cloud Engineering with Google Cloud Professional Certificate
• Security in Google Cloud Platform Specialization
• Cloud Architecture with Google Cloud Professional Certificate
• IBM Data Science Professional Certificate
Подборка бесплатных курсов по сертификации Google, Alibaba, IBM, Amazon и просто AI/ML/NLP
Ниже просто приведу названия крусов + ссылки на них
• AI For Everyone
• Natural Language Processing Specialization
• Deep Learning Specialization
• Getting Started with AWS Machine Learning
• AWS Fundamentals Specialization
• Alibaba Cloud Computing Specialization
• Google IT Automation with Python Professional Certificate
• SRE and DevOps Engineer with Google Cloud Professional Certificate
• Google IT Support Professional Certificate
• Cloud Engineering with Google Cloud Professional Certificate
• Security in Google Cloud Platform Specialization
• Cloud Architecture with Google Cloud Professional Certificate
• IBM Data Science Professional Certificate
Coursera
AI For Everyone
Offered by DeepLearning.AI. AI is not only for ... Enroll for free.
Как читать и исправлять сообщения отказа (denial) SELinux
Security Enhanced Linux (SELinux) - это среда безопасности, которая разрешает и запрещает доступ к приложениям, файлам и т.д.
В этой статье рассматривается, что происходит, когда доступ к желаемому файлу или приложению запрещен. Какие сообщения при этом генерируются, где эти сообщения хранятся и что на самом деле означает эта информация:
https://www.redhat.com/sysadmin/selinux-denial2
Security Enhanced Linux (SELinux) - это среда безопасности, которая разрешает и запрещает доступ к приложениям, файлам и т.д.
В этой статье рассматривается, что происходит, когда доступ к желаемому файлу или приложению запрещен. Какие сообщения при этом генерируются, где эти сообщения хранятся и что на самом деле означает эта информация:
https://www.redhat.com/sysadmin/selinux-denial2
Redhat
How to read and correct SELinux denial messages
Security Enhanced Linux (SELinux) is a security framework that allows and denies access to applications, files, etc. within a Linux system. For a full S...
Chrome 87 содержит множество фиксов безопасности и улучшений производительности
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_17.html
Но при этом "падает" на Mac'ах:
https://support.google.com/chrome/thread/83557143?hl=en
https://chromereleases.googleblog.com/2020/11/stable-channel-update-for-desktop_17.html
Но при этом "падает" на Mac'ах:
https://support.google.com/chrome/thread/83557143?hl=en
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 87 to the Stable channel (87.0.4280.66 for Windows and Linux, 87.0.4280.67 ...
Bitdefender-Whitepaper-Chinese-APT.pdf
6.2 MB
Юго-Восточная Азия под прицелом APT-групп
Отчёт от Bitdefender, о росте угроз, инструментах, примерах работы угроз (включая PoC'и)...
Пока это похоже только страны:
- Тайланд
- Индонезия
- Вьетнам
- Малайзия
- Камбоджа
- Лаос
- Мьянма
- Сингапур
- Филиппины
Остаётся открытым вопрос - когда будет совершен серьезный поход (пока просто тыкают палкой) в Центральную Азию?)
Отчёт от Bitdefender, о росте угроз, инструментах, примерах работы угроз (включая PoC'и)...
Пока это похоже только страны:
- Тайланд
- Индонезия
- Вьетнам
- Малайзия
- Камбоджа
- Лаос
- Мьянма
- Сингапур
- Филиппины
Остаётся открытым вопрос - когда будет совершен серьезный поход (пока просто тыкают палкой) в Центральную Азию?)
Как веб-сайты могли похищать все куки из Firefox
На сколько помню у Firefox в этом году уже были разного рода претенденты (см ссылки ниже), теперь и куки:
https://medium.com/@kanytu/firefox-and-how-a-website-could-steal-all-of-your-cookies-581fe4648e8d
Чем был интересен ФФ в этом году с точки зрения "не конфиденциальности" и "не безопасности"
- Подглядывал через камеру за "тобой" уважаемый подписчик даже когда телефон был в спящем режиме. Пост "Бдящий Firefox" - https://news.1rj.ru/str/sysadm_in_channel/1989
- Android Firefox запускался удалёнными злоумышленниками в сетях WiFi и позволял им выполнять различные действия на целевом устройстве - https://news.1rj.ru/str/sysadm_in_channel/2206
- Чем-то похожая уязвимость, когда HTML страница могла создать условия для удаленного выполнения кода - https://news.1rj.ru/str/sysadm_in_channel/1878
На сколько помню у Firefox в этом году уже были разного рода претенденты (см ссылки ниже), теперь и куки:
https://medium.com/@kanytu/firefox-and-how-a-website-could-steal-all-of-your-cookies-581fe4648e8d
Чем был интересен ФФ в этом году с точки зрения "не конфиденциальности" и "не безопасности"
- Подглядывал через камеру за "тобой" уважаемый подписчик даже когда телефон был в спящем режиме. Пост "Бдящий Firefox" - https://news.1rj.ru/str/sysadm_in_channel/1989
- Android Firefox запускался удалёнными злоумышленниками в сетях WiFi и позволял им выполнять различные действия на целевом устройстве - https://news.1rj.ru/str/sysadm_in_channel/2206
- Чем-то похожая уязвимость, когда HTML страница могла создать условия для удаленного выполнения кода - https://news.1rj.ru/str/sysadm_in_channel/1878
Medium
Firefox: How a website could steal all your cookies
This is a write up for CVE-2020–15647, explaining how webpages are capable of stealing files from your Android device, including but not…
The Standoff где специалисты по киберзащите blue teams/red teams разыгрывали целый спектр реальных сценариев кибератак, а спикеры/докладчики делились информацией о ИБ, закончился, но исторические данные о данном мероприятии все еще хранятся на оф. сайте, кто не успел, есть возможность ознакомиться:
https://standoff365.com/
https://standoff365.com/
Standoff365
Standoff 365
Standoff 365 — платформа для исследователей безопасности, которая включает в себя киберполигон, багбаунти и митапы.
Mas-cli - command line interface for the Mac App Store. Designed for noscripting and automation
App Store, но из терминала, позволяет искать, обновлять, удалять и устаналивать софт. Можно ставить из homebrew…
https://github.com/mas-cli/mas
App Store, но из терминала, позволяет искать, обновлять, удалять и устаналивать софт. Можно ставить из homebrew…
https://github.com/mas-cli/mas
GitHub
GitHub - mas-cli/mas: :package: Mac App Store command-line interface
:package: Mac App Store command-line interface. Contribute to mas-cli/mas development by creating an account on GitHub.
Terrascan - Статический анализатор кода для IaC
https://docs.accurics.com/projects/accurics-terrascan/en/latest/getting-started/
https://docs.accurics.com/projects/accurics-terrascan/en/latest/getting-started/
Windows обновление которое фиксит CVE в отношени Kerberos мезанизмов по выдаче и обновлению билетов (TGT)
https://support.microsoft.com/en-us/help/4594442/windows-10-update-kb4594442
https://support.microsoft.com/en-us/help/4594442/windows-10-update-kb4594442
Microsoft
November 17, 2020—KB4594442 (OS Build 17763.1579) Out-of-band - Microsoft Support
Learn more about update KB4594442, including improvements and fixes, any known issues, and how to get the update.
Раскрытие пользовательских данных IAM AWS
Исследователи Unit 42 обнаружили класс API-интерфейсов Amazon Web Services (AWS), которыми можно злоупотреблять для раскрытия пользователей и ролей AWS Identity and Access Management (IAM)
PoC:
https://unit42.paloaltonetworks.com/aws-resource-based-policy-apis/
Это лишний раз подтверждает - безоговорочно верить (а такие товарищи имеются, особенно в DevOps среде) в безопасность облачных сервисов, это самообман.
Исследователи Unit 42 обнаружили класс API-интерфейсов Amazon Web Services (AWS), которыми можно злоупотреблять для раскрытия пользователей и ролей AWS Identity and Access Management (IAM)
PoC:
https://unit42.paloaltonetworks.com/aws-resource-based-policy-apis/
Это лишний раз подтверждает - безоговорочно верить (а такие товарищи имеются, особенно в DevOps среде) в безопасность облачных сервисов, это самообман.
Unit 42
Information Leakage in AWS Resource-Based Policy APIs
Researchers confirmed that 22 resource-based policy APIs across 16 different AWS services could be abused.
sophos-2021-threat-report.pdf
3.7 MB
Отчёт Sophos об ИТ/ИБ угрозах
Тренды, таргеты и тп
Тренды, таргеты и тп
Ransomware - Записки о выкупе теперь печатаются на принтерах
Авторы программ-вымогателей знают, что многие предприятия предпочли бы скрыть атаку программы-вымогателя, чем предать ее гласности, в том числе для сотрудников, из-за опасений, что новости могут повлиять на цены акций и их репутацию.
Программа-вымогатель Egregor использует новый подход, чтобы привлечь внимание жертвы после атаки - многократно печатает записки о выкупе со всех доступных принтеров.
https://www.bleepingcomputer.com/news/security/egregor-ransomware-bombards-victims-printers-with-ransom-notes/
Авторы программ-вымогателей знают, что многие предприятия предпочли бы скрыть атаку программы-вымогателя, чем предать ее гласности, в том числе для сотрудников, из-за опасений, что новости могут повлиять на цены акций и их репутацию.
Программа-вымогатель Egregor использует новый подход, чтобы привлечь внимание жертвы после атаки - многократно печатает записки о выкупе со всех доступных принтеров.
https://www.bleepingcomputer.com/news/security/egregor-ransomware-bombards-victims-printers-with-ransom-notes/
BleepingComputer
Egregor ransomware bombards victims' printers with ransom notes
The Egregor ransomware uses a novel approach to get a victim's attention after an attack - shoot ransom notes from all available printers.
Руководство по мониторингу подозрительной активности при помощи Sysinternals Sysmon
https://docs.microsoft.com/en-us/archive/blogs/motiba/sysinternals-sysmon-suspicious-activity-guide
https://docs.microsoft.com/en-us/archive/blogs/motiba/sysinternals-sysmon-suspicious-activity-guide
Docs
Sysinternals Sysmon suspicious activity guide
Те, кто сделал Let's Encrypt, делают инструменты для сбора анонимных метрик использования приложений конечными пользователями
Такие приложения, как веб-браузеры, мобильные приложения и веб-сайты, генерируют показатели, которые отсылаются разработчикам, по представленной идее инструментария данные будут должным образом анонимизированы и зашифрованы в едином месте..
С другой стороны, владельцы такого "шлюза" будут "править миром" как минимум маркетинга, а если сюда представить всю мощь потенциала Let's Encrypt...
В общем есть такая вот инициатива и Mozilla с 2018 года уже пробует этот метод, называемый Prio, можно представить сколько там информации собрано:
https://www.theregister.com/AMP/2020/11/18/isrg_prio_services/
Такие приложения, как веб-браузеры, мобильные приложения и веб-сайты, генерируют показатели, которые отсылаются разработчикам, по представленной идее инструментария данные будут должным образом анонимизированы и зашифрованы в едином месте..
С другой стороны, владельцы такого "шлюза" будут "править миром" как минимум маркетинга, а если сюда представить всю мощь потенциала Let's Encrypt...
В общем есть такая вот инициатива и Mozilla с 2018 года уже пробует этот метод, называемый Prio, можно представить сколько там информации собрано:
https://www.theregister.com/AMP/2020/11/18/isrg_prio_services/
The Register
The ones who brought you Let's Encrypt, bring you: Tools for gathering anonymized app usage metrics from netizens
Tech tackles two things: 'Aggregate statistics to improve an application, maintain the privacy of the people'
Kali Linux 2020.4 Release | Kali Linux
https://www.kali.org/news/kali-linux-2020-4-release/
https://www.kali.org/news/kali-linux-2020-4-release/
Kali Linux
Kali Linux 2020.4 Release (ZSH, Bash, CME, MOTD, AWS, Docs, Win-KeX & Vagrant) | Kali Linux Blog
We find ourselves in the 4th quarter of 2020, and we are ecstatic to announce the release of Kali Linux 2020.4, which is ready for immediate download or updating.
What’s different with this release since 2020.3 in August 2020 is:
ZSH is the new default shell…
What’s different with this release since 2020.3 in August 2020 is:
ZSH is the new default shell…
Уязвимость Drupal - удалённое выполнение кода (статус critical)
https://www.drupal.org/sa-core-2020-012
https://www.drupal.org/sa-core-2020-012
Drupal.org
Drupal core - Critical - Remote code execution - SA-CORE-2020-012
Update November 18: Documented longer list of dangerous file extensions Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed…
Cloud native security for your clusters
Цель статьи состоит в том, чтобы смоделировать и внедрить безопасность в четыре логических этапа жизненного цикла облачных приложений: разработка, распространение, развертывание и выполнение
Вводная. Просто, концептуально:
https://kubernetes.io/blog/2020/11/18/cloud-native-security-for-your-clusters/
Цель статьи состоит в том, чтобы смоделировать и внедрить безопасность в четыре логических этапа жизненного цикла облачных приложений: разработка, распространение, развертывание и выполнение
Вводная. Просто, концептуально:
https://kubernetes.io/blog/2020/11/18/cloud-native-security-for-your-clusters/
Kubernetes
Cloud native security for your clusters
Over the last few years a small, security focused community has been working diligently to deepen our understanding of security, given the evolving cloud native infrastructure and corresponding iterative deployment practices. To enable sharing of this knowledge…