Forwarded from AlexRedSec
CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️ В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️ Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️ Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.
2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно
2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.
#vm #cve #mitre #cisa #cwe #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from DigitalRussia (D-Russia.ru)
Опубликованы национальные стандарты в области ИИ:
🔸ГОСТ Р 71476-2024 Искусственный интеллект. Концепции и терминология искусственного интеллекта
🔸ГОСТ Р 71539-2024 Искусственный интеллект. Процессы жизненного цикла системы искусственного интеллекта
🔸ГОСТ Р 71540-2024 Искусственный интеллект. Эталонная архитектура инженерии знаний
🔸ГОСТ Р ИСО/МЭК 24029-2-2024 Искусственный интеллект. Оценка робастности нейронных сетей. Часть 2. Методология использования формальных методов
🔸ГОСТ Р ИСО/МЭК 42001-2024 Искусственный интеллект. Система менеджмента
Дата введения в действие пяти документов: 01.01.2025.
Опубликованы национальные стандарты в области применения ИИ в строительно-дорожной технике:
🔸ГОСТ Р 71750-2024 Технологии искусственного интеллекта в строительно-дорожной технике. Термины и определения
🔸ГОСТ Р 71751-2024 Технологии систем искусственного интеллекта в строительно-дорожной технике. Варианты использования
Дата введения в действие этих ГОСТов: 01.01.2025.
🔸ПНСТ 966-2024 Алгоритмы систем искусственного интеллекта для обнаружения и идентификации препятствий строительно-дорожной техники. Методы испытаний
🔸ПНСТ 967-2024 Алгоритмы систем искусственного интеллекта для решения задач ландшафтной навигации строительно-дорожной техники. Методы испытаний
Срок действия этих документов: с 01.01.2025 до 01.01.2028.
Также добавлены:
🔸ГОСТ Р 71687-2024 Искусственный интеллект. Наборы данных для разработки и верификации моделей машинного обучения для косвенного измерения механических свойств полимерных композиционных материалов. Общие требования
🔸ГОСТ Р ИСО/МЭК 20547-3-2024 Информационные технологии. Эталонная архитектура больших данных. Часть 3. Эталонная архитектура
Дата введения в действие этих документов: 01.01.2025.
🔸ГОСТ Р 71476-2024 Искусственный интеллект. Концепции и терминология искусственного интеллекта
🔸ГОСТ Р 71539-2024 Искусственный интеллект. Процессы жизненного цикла системы искусственного интеллекта
🔸ГОСТ Р 71540-2024 Искусственный интеллект. Эталонная архитектура инженерии знаний
🔸ГОСТ Р ИСО/МЭК 24029-2-2024 Искусственный интеллект. Оценка робастности нейронных сетей. Часть 2. Методология использования формальных методов
🔸ГОСТ Р ИСО/МЭК 42001-2024 Искусственный интеллект. Система менеджмента
Дата введения в действие пяти документов: 01.01.2025.
Опубликованы национальные стандарты в области применения ИИ в строительно-дорожной технике:
🔸ГОСТ Р 71750-2024 Технологии искусственного интеллекта в строительно-дорожной технике. Термины и определения
🔸ГОСТ Р 71751-2024 Технологии систем искусственного интеллекта в строительно-дорожной технике. Варианты использования
Дата введения в действие этих ГОСТов: 01.01.2025.
🔸ПНСТ 966-2024 Алгоритмы систем искусственного интеллекта для обнаружения и идентификации препятствий строительно-дорожной техники. Методы испытаний
🔸ПНСТ 967-2024 Алгоритмы систем искусственного интеллекта для решения задач ландшафтной навигации строительно-дорожной техники. Методы испытаний
Срок действия этих документов: с 01.01.2025 до 01.01.2028.
Также добавлены:
🔸ГОСТ Р 71687-2024 Искусственный интеллект. Наборы данных для разработки и верификации моделей машинного обучения для косвенного измерения механических свойств полимерных композиционных материалов. Общие требования
🔸ГОСТ Р ИСО/МЭК 20547-3-2024 Информационные технологии. Эталонная архитектура больших данных. Часть 3. Эталонная архитектура
Дата введения в действие этих документов: 01.01.2025.
https://github.com/kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS
AIVSS - это предлагаемая платформа для оценки уязвимостей, характерных для систем искусственного интеллекта/ML. Этот проект направлен на устранение ограничений традиционных систем оценки уязвимостей (таких как CVSS) применительно к системам искусственного интеллекта.
AIVSS - это предлагаемая платформа для оценки уязвимостей, характерных для систем искусственного интеллекта/ML. Этот проект направлен на устранение ограничений традиционных систем оценки уязвимостей (таких как CVSS) применительно к системам искусственного интеллекта.
GitHub
GitHub - kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS
Contribute to kenhuangus/Artificial-Intelligence-Vulnerability-Scoring-System-AIVSS development by creating an account on GitHub.
👍1
Forwarded from Task No Face
1️⃣ Открываем приложение Microsoft Office.2️⃣ Путь: File → Options → Trust Center → Trust Center Settings → Privacy Options → Privacy Settings → Optional Connected Experiences.3️⃣ Снимаем галочку с «Turn on optional connected».4️⃣ Всё, ваши данные больше не тренируют злоебучий ИИ.
@pentestland
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Машинное обучение: Наивный байесовский классификатор. Теория и реализация. С нуля / Хабр
https://habr.com/ru/articles/870718/
https://habr.com/ru/articles/870718/
GitHub - terjanq/hack-a-prompt: Tools and our test data developed for the HackAPrompt 2023 competition
https://github.com/terjanq/hack-a-prompt
https://github.com/terjanq/hack-a-prompt
GitHub
GitHub - terjanq/hack-a-prompt: Tools and our test data developed for the HackAPrompt 2023 competition
Tools and our test data developed for the HackAPrompt 2023 competition - terjanq/hack-a-prompt
GitHub - terjanq/Tiny-XSS-Payloads: A collection of tiny XSS Payloads that can be used in different contexts. https://tinyxss.terjanq.me
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/terjanq/Tiny-XSS-Payloads
tinyxss.terjanq.me
Tiny XSS Payloads
A collection of small XSS payloads
Forwarded from PurpleBear (Vadim Shelest)
Всем привет!
Летом у нас была подборка по self-hosted лабораторным окружениям, сегодня предлагаю вашему вниманию список различных ресурсов позволяющих совершенствовать навыки по различным доменам знаний атакующих и защитников в онлайн формате:
☑️ HackTheBox - https://www.hackthebox.com
☑️ Standoff365 - https://range.standoff365.com/
☑️ Try Hack Me - https://tryhackme.com
☑️ Defbox - https://defbox.io/
☑️ Attack-Defense - https://attackdefense.com
☑️ Alert to win - https://alf.nu/alert1
☑️ CryptoHack - https://cryptohack.org/
☑️ CMD Challenge - https://cmdchallenge.com
☑️ Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
☑️ Defend The Web - https://defendtheweb.net/
☑️ Exploitation Education - https://exploit.education
☑️ Google CTF - https://capturetheflag.withgoogle.com/
☑️ Hacker101 - https://ctf.hacker101.com
☑️ Hacking-Lab - https://hacking-lab.com/
☑️ ImmersiveLabs - https://immersivelabs.com
☑️ Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
☑️ LetsDefend- https://letsdefend.io/
☑️ NewbieContest - https://www.newbiecontest.org/
☑️ OverTheWire - http://overthewire.org
☑️ Pentesterlab - https://pentesterlab.com
☑️ PentestIT LAB - https://lab.pentestit.ru
☑️ PicoCTF - https://picoctf.com
☑️ PWNABLE - https://pwnable.kr/play.php
☑️ Root-Me - https://www.root-me.org
☑️ SANS Holiday hack - https://www.sans.org/mlp/holiday-hack-challenge-2024
☑️ SmashTheStack - https://www.smashthestack.org/main.html
☑️ The Cryptopals Crypto Challenges - https://cryptopals.com
☑️ Vulnhub - https://www.vulnhub.com
☑️ Vulnmachine - https://www.vulnmachines.com/
☑️ W3Challs - https://w3challs.com
☑️ Websploit - https://websploit.org/
☑️ Zenk-Security - https://www.zenk-security.com/
Летом у нас была подборка по self-hosted лабораторным окружениям, сегодня предлагаю вашему вниманию список различных ресурсов позволяющих совершенствовать навыки по различным доменам знаний атакующих и защитников в онлайн формате:
☑️ HackTheBox - https://www.hackthebox.com
☑️ Standoff365 - https://range.standoff365.com/
☑️ Try Hack Me - https://tryhackme.com
☑️ Defbox - https://defbox.io/
☑️ Attack-Defense - https://attackdefense.com
☑️ Alert to win - https://alf.nu/alert1
☑️ CryptoHack - https://cryptohack.org/
☑️ CMD Challenge - https://cmdchallenge.com
☑️ Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
☑️ Defend The Web - https://defendtheweb.net/
☑️ Exploitation Education - https://exploit.education
☑️ Google CTF - https://capturetheflag.withgoogle.com/
☑️ Hacker101 - https://ctf.hacker101.com
☑️ Hacking-Lab - https://hacking-lab.com/
☑️ ImmersiveLabs - https://immersivelabs.com
☑️ Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
☑️ LetsDefend- https://letsdefend.io/
☑️ NewbieContest - https://www.newbiecontest.org/
☑️ OverTheWire - http://overthewire.org
☑️ Pentesterlab - https://pentesterlab.com
☑️ PentestIT LAB - https://lab.pentestit.ru
☑️ PicoCTF - https://picoctf.com
☑️ PWNABLE - https://pwnable.kr/play.php
☑️ Root-Me - https://www.root-me.org
☑️ SANS Holiday hack - https://www.sans.org/mlp/holiday-hack-challenge-2024
☑️ SmashTheStack - https://www.smashthestack.org/main.html
☑️ The Cryptopals Crypto Challenges - https://cryptopals.com
☑️ Vulnhub - https://www.vulnhub.com
☑️ Vulnmachine - https://www.vulnmachines.com/
☑️ W3Challs - https://w3challs.com
☑️ Websploit - https://websploit.org/
☑️ Zenk-Security - https://www.zenk-security.com/
Telegram
PurpleBear
Меня иногда просят посоветовать self-hosted лабы по различным доменам знаний деятельности пентестеров для наработки и совершенствования навыков на практике, поэтому ловите небольшую подборку:
☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️…
☑️ Kubernetes Goat - Vulnerable by design Kubernetes cluster
☑️…
https://habr.com/ru/companies/t2/articles/674536/
Если Гост, то оное само себя не проксирует в бурп. Для этого в статье гайд.
Если Гост, то оное само себя не проксирует в бурп. Для этого в статье гайд.
Хабр
Опыт интеграции с КриптоПро DSS поверх ГОСТ TLS
Всем привет! Я Максим, бэкенд-разработчик команды MSB (корпоративная сервисная шина), занимаюсь интеграциями систем для внутренних нужд компании Tele2, и в этом посте хочу поделиться опытом интеграции...
CVE-2024-43405: уязвимость в Nuclei ставит под удар безопасность тысяч компаний
https://www.securitylab.ru/news/555236.php
https://www.securitylab.ru/news/555236.php
SecurityLab.ru
CVE-2024-43405: уязвимость в Nuclei ставит под удар безопасность тысяч компаний
Манипуляции при проверке подписей стали ключевым козырем атакующих.
👍2
Оказалось...
Что есть для HTTP версии 2 существуют дополнительные pseudo-headers, которых в Burp не видно.
:method - The HTTP method of the request, such as GET or POST.
:path - The request path. Note that this includes the query string.
:authority - Roughly equivalent to the Host header in HTTP/1.
:scheme - The request scheme, typically http or https. Note that there is no equivalent in HTTP/1.
:status - The response status code.
Вот такое оно
Что есть для HTTP версии 2 существуют дополнительные pseudo-headers, которых в Burp не видно.
:method - The HTTP method of the request, such as GET or POST.
:path - The request path. Note that this includes the query string.
:authority - Roughly equivalent to the Host header in HTTP/1.
:scheme - The request scheme, typically http or https. Note that there is no equivalent in HTTP/1.
:status - The response status code.
Вот такое оно
Обнаружен крайне удобный онлайн преобразователь типов данных для синтаксиса различных языков программирования
https://transform.tools/
https://transform.tools/
transform.tools
A polyglot web converter that's going to save you a lot of time.