/ Microsoft Vulnerabilities Report 2022

Historically, the report has delivered a holistic annual view of the vulnerabilities within Microsoft’s platforms and products, and has established an
undeniable business case for the importance of removing admin rights to reduce risk…

NodeJS Security Recommendation Links

- ESLint Plugin Security - https://github.com/nodesecurity/eslint-plugin-security
- Express App Secure with Helmet - https://www.npmjs.com/package/helmet
- 6 Tools for checking vulnerabilitues in Node - https://www.freecodecamp.org/news/6-tools-you-can-use-to-check-for-vulnerabilities-in-node-js/
- Secure coding practices for NodeJS Web Applications - https://auto1.tech/securing-nodejs-applications/
- Top 11 Node.js security best practices - https://blog.sqreen.com/nodejs-security-best-practices/

#node

API Gateway in NodeJS

- Create an API Gateway Using NodeJS and Express - https://medium.com/geekculture/create-an-api-gateway-using-nodejs-and-express-933d1ca23322
- How to build your first RESTful API in Node.js - https://medium.com/@jlrosenberg/how-to-build-a-node-rest-service-a3f280b99c7d

#node

Introducing GitHub Skills

https://github.blog/2022-06-06-introducing-github-skills/

⚙️ Monitor.sh - Script for checking systemd unit status

monitor.sh can run custom noscript / action if unit has stopped or running statuses, examples:

./monitor.sh -u sshd -a "/path/to/action-noscript/action.sh"

or

./monitor.sh -u multipathd -r -a "/usr/local/sbin/test.sh"

or just:

./monitor.sh -u multipathd -r

add this noscript to cron and if your systemd unit will be stopped or disabled, monitor.sh will enable and will try tu restart targeted systemd unit…

* https://github.com/m0zgen/monitor

Knot Resolver - Official Manual (Mar 15, 2022)

Knot Resolver is a minimalistic implementation of a caching validating DNS resolver. Modular architecture keeps the core tiny and efficient, and it provides a state-machine like API for extensions

Этика и психология индивидуума айтишного и не только. Риторика.

- В начале было слово. Слово - это поступок. Говоря слова и собирая их в предложения, абзацы - следи за собой ибо ты совершаешь поступки.
- Воля, дух - их как бы нет как органов, но их можно тренировать, развивать и использовать это в своей жизни.
- Совокупность разных качеств образует образ - личность, эксперта или тряпку и болтуна.

Нравственность и мораль, а так же жизненный опыт, аспекты слова и духа и много чего еще образуют еще одну сущность, дисциплину - этика…

Далее о наборе различных компетенций формирующих поведение и отношение к жизни, самому себе и окружающим:

- https://sys-adm.in/live/983-etika-i-psikhologiya-individuuma-ajtishnogo-i-ne-tolko-ritorika.html

Probing for Passwords –
Privacy Implications of SSIDs in Probe Requests

https://arxiv.org/pdf/2206.03745.pdf

Top 5 Free Kubernetes Certifications

The purpose of this post is to share 5 free self-paced certifications that everyone interested in the Kubernetes ecosystem should know:

https://medium.com/geekculture/top-5-free-kubernetes-certifications-8c86b2c5b590

 
Открытый курс по этичному хакингу. Формат: 10% теория / 90% практика.

Это то, что доктор прописал, курс от практикующего Этичного Хакера, Master of Computer Science, OSCP, eWPTXv2, eCPTXv2

Исследователь множественных CVE, автор блога: murat.one, канала: @onebrick, хорошего человека и моего друга, по окончанию курса слушатели будут на уровне junior penetration tester, в общем 10 недель:

• Неделя 1. Введение в коммерческий пентест. Создание рабочей среды
• Неделя 2. Сбор информации. OSINT
• Неделя 3. Техники социальной инженерии
• Неделя 4. Безопасность web-приложений
• Неделя 5. Атака на web-приложения. Автоматические инструменты
• Неделя 6. Безопасность инфраструктуры. Разведка
• Неделя 7. Атаки на инфраструктуру. Metasploit Framework
• Неделя 8. Основы Android приложений и атаки на WiFi
• Неделя 9. Платформы для обучения кибербезопасности
• Неделя 10. Написание коммерческого отчета

Со слов автора - не диктор и возможно придется поставить скорость на 1.5, но лично мне все в самый раз:

• https://youtu.be/oRflkcjm08U

Спасибо @manfromkz за проделанный труд и за открытый awareness паблику 🤝
 

[ru] Мои "Flex" факторы работы с инфраструктурой, про 12 факторов Heroku и не только

В Августе 2021 года, когда я запускал OPEN BLD DNS и по сегодняшний день - слыхом не слыхивал про методологию THE TWELVE-FACTOR APP, но когда прочитал, понял - у меня все так и было +- на интуитивном уровне, сегодня хочу рассказать свою версию факторов подхода к разработке, деплою, использованию и отслеживанию работоспособности проектов.

Далее о 12 факторах, моей "Flex" методологии и о том, как это все можно применять на практике:

* Статья о 12 факторах Heroku и моего “Flex” взгляда

~~~

[en] My "Flex" factors working with infrastructure and about of 12-factors app from Heroku

Try to use Google Translator, but I created repo and site for my “Flex” concept:

* Repo: https://github.com/m0zgen/flex-doc
* Site: https://flex-doc.pages.dev

CyrilEx Regex Tester

One of the best regex tester:
* https://extendsclass.com/regex-tester.html

#regex #test

macOS Security and Privacy Guide

highly hardenning configarions and examples:
* https://github.com/drduh/macOS-Security-and-Privacy-Guide

Simple Knot Resolver installation and configuration example article (ru)

* Install
* Logging
* DNS, DoT, DoH example config
* DNS Forwarding
* RPZ example section
* DNS Application Firewall
* Caching

- https://sys-adm.in/systadm/986-prostoj-primer-ustanovki-i-nastrojki-knot-resolver.html

IP Reflector - simple Open IP API gateway

Many IP detection service, such as detection: County, ISP, Lat/Lon and etc has limited access.

This services has some limitations, like as requests limitations and HTTP mode only, this limitation may be cause some problems, as example:
- you have service which works on HTTPS, some security limitations will prohibit create requests from HTTPS to HTTP...

IP Reflector it is a simple Open IP API gateway for http://ip-api.com, after run reflector locally / remote, you can use this more or less like this:

curl http://127.0.0.1:8000/\?ip=1.1.1.1

You will recieve JSON response:

{"status":"success","country":"Australia","countryCode":"AU","region":"QLD","regionName":"Queensland","city":"South Brisbane","zip":"4101","lat":-27.4766,"lon":153.0166,"timezone":"Australia/Brisbane","isp":"Cloudflare, Inc","org":"APNIC and Cloudflare DNS Resolver project","as":"AS13335 Cloudflare, Inc.","query":"1.1.1.1"}

Link to repo:
* https://github.com/m0zgen/ip-reflector

Open BLD DNS Updating News: New BLD release, New tools and more
 
I'm happy to present new Open BLD release which is already in production 🎉

🌴 Stabilities and Updates:
• Atomizing/Micro-servicing: Different server BLD infrastructure roles
• Alerting coverage: Local and remote BLD services
• Caching: Redis to KeyDB partially changes/migrations
• Caching: Sync caching between different BLD role servers
• Configurable: Minimum TLS version can be setup through config file
• Configurable: Multiple configations supporting
• Configurable: Custom HTTP User Agent for DoH upstreams
• Configurable: Updated conditional Bootstrap and Upstream functionality
• Stability: Auto-recovering and Self-checking mechanisms

🧩 Tools:
• IP Reflector. IP Reflection API Service.
• Monitor.sh. Script for checking systemd unit status
• Self-cert-gen. Simple self signed certificate generator
• monit2telegram. A simple noscript to send Monit alerts using Telegram bot.
• Flex App Additions Methodology. Flow for Engineers, this methodology can be used as additional helper for 12-Factor app or can be used separetely, as standalone practice.

🦚 Agentless BLD:
BLD works without agents or any additional tools and allow to use secure and clean Internet:
• In: Browsers (Chrome, Brave, Firefox, Edge and etc)
• On: Mobile devices (Android, iOS)
• In/On: Computers or networks (Primaty/Secondary DNS)

📟 More details on official BLD site:
• https://lab.sys-adm.in

#free #bld #dns

Mozilla HTTP Observatory

The Mozilla HTTP Observatory is a set of tools to analyze your website and inform you if you are utilizing the many available methods to secure it.

https://github.com/mozilla/http-observatory

#tool