Forwarded from ISACARuSec
IETF Datatracker
RFC 9700: Best Current Practice for OAuth 2.0 Security
This document describes best current security practice for OAuth 2.0. It updates and extends the threat model and security advice given in RFCs 6749, 6750, and 6819 to incorporate practical experiences gathered since OAuth 2.0 was published and covers new…
🔥1
Forwarded from Банк России
🤳 Банк России утвердил стандарт безопасного использования QR-кодов для платежей и переводов
🟠 Финансовые организации и компании из других сфер, которые применяют QR-код для проведения платежей и переводов, смогут разработать на основе этого регламента внутренние меры защиты.
🟠 В документе в зависимости от видов QR-кодов систематизированы угрозы, которые могут возникнуть на каждом этапе операции. Также представлены типовые способы защиты от этих угроз. Для внесения и снятия денег в банкомате по QR-коду предусмотрены отдельные меры защиты.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Стандарт носит рекомендательный характер и вступит в силу 17 февраля.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Echelon Eyes
Databricks AI Security Framework 2.0: что нового во втором релизе фреймворка?
Databricks выпустили Databricks AI Security Framework (DASF) v2.0 – второй релиз своего фреймворка для безопасности конвейера разработки приложений с моделями машинного обучения (MlSecOps).
DASF 2.0 призван помочь организациям, которые активно внедряют инновации в области ИИ и при этом не хотят стать более уязвимыми перед рисками безопасности и конфиденциальности.
Изменения в DASF 2.0:
1️⃣ Релиз приведен в соответствие с нормативным стандартам типа GDRP (Общим регламентом по защите данных Евросоюза) и CCPA (Законом о защите прав потребителей Калифорнии).
2️⃣ Описаны 62 риска безопасности любой системы ИИ.
3️⃣ Риски сопоставлены с общими структурами безопасности ИИ.
4️⃣ Даны рекомендации по 64 элементам управления, которые применимы к любой платформе данных и ИИ.
5️⃣ Расширено сопоставление с известными фреймворками и стандартами рисков ИИ – MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53, NIST CSF, HITRUST, ENISA's Securing ML Algorithms, ISO 42001, ISO 27001:2022.
6️⃣ Появился AI-ассистент.
7️⃣ Добавлена версия фреймворка в xlsx.
8️⃣ Доступен бесплатный часовой курс по обращению с фреймворком и обучающие ролики.
Источник: https://www.databricks.com/resources/whitepaper/databricks-ai-security-framework-dasf
#ИИ #ИБ
Databricks выпустили Databricks AI Security Framework (DASF) v2.0 – второй релиз своего фреймворка для безопасности конвейера разработки приложений с моделями машинного обучения (MlSecOps).
DASF 2.0 призван помочь организациям, которые активно внедряют инновации в области ИИ и при этом не хотят стать более уязвимыми перед рисками безопасности и конфиденциальности.
Изменения в DASF 2.0:
1️⃣ Релиз приведен в соответствие с нормативным стандартам типа GDRP (Общим регламентом по защите данных Евросоюза) и CCPA (Законом о защите прав потребителей Калифорнии).
2️⃣ Описаны 62 риска безопасности любой системы ИИ.
3️⃣ Риски сопоставлены с общими структурами безопасности ИИ.
4️⃣ Даны рекомендации по 64 элементам управления, которые применимы к любой платформе данных и ИИ.
5️⃣ Расширено сопоставление с известными фреймворками и стандартами рисков ИИ – MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53, NIST CSF, HITRUST, ENISA's Securing ML Algorithms, ISO 42001, ISO 27001:2022.
6️⃣ Появился AI-ассистент.
7️⃣ Добавлена версия фреймворка в xlsx.
8️⃣ Доступен бесплатный часовой курс по обращению с фреймворком и обучающие ролики.
Источник: https://www.databricks.com/resources/whitepaper/databricks-ai-security-framework-dasf
#ИИ #ИБ
Гении ошибались 40 лет: студент случайно открыл новый способ хранения данных
https://www.securitylab.ru/news/556413.php
https://www.securitylab.ru/news/556413.php
SecurityLab.ru
Гении ошибались 40 лет: студент случайно открыл новый способ хранения данных
Фундаментальная проблема хеш-таблиц получила неожиданное решение.
Forwarded from offsec notes
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Denoscriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)Csacyber
Pentesting Keycloak Part 1: Identifying Misconfiguration Using Risk Management Tools
Keycloak is an open-source Identity and Access Management (IAM) solution. It allows easy implementation of single sign-on for web applications and APIs.
Forwarded from Inf0 | ИБ, OSINT
Spring Security — это фреймворк, который сфокусирован на обеспечении аутентификации и авторизации в Java-приложениях
Он предоставляет набор API и классов для лёгкой настройки и реализации различных функций безопасности в веб-приложениях
Некоторые ключевые особенности Spring Security:
🔵 поддержка нескольких механизмов аутентификации, например, на основе форм или токенов;
🔵 надёжные возможности авторизации на основе ролей и разрешений;
🔵 поддержка различных протоколов безопасности, таких как HTTPS, OAuth и SAML;
🔵 широкие возможности ведения логов и аудита для мониторинга событий, связанных с безопасностью
Как и все остальное в экосистеме Spring, этот фреймворк бесплатен, имеет открытый исходный код и поддерживается замечательной командой VMWare
Понятные объяснения и наглядные примеры научат вас:
Лауренциу Спилкэ 2025
#Book #Spring #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Codeby
mitmproxy2swagger — утилита для автоматического преобразования захваченного трафика через mitmproxy в OpenAPI Specification. Установка происходит через
Использование
1️⃣ Для создания спецификации сначала запускаем mitmweb — веб-интерфейс, встроенный в mitmproxy, с помощью команды
2️⃣ Изучаем наш целевой сайт, самостоятельно переходим на разные эндпоинты, генерируя трафик. Далее необходимо сохранить полученные пакеты в файл и запустить команду:
<api_prefix> Это базовый URL-адрес API, который мы хотим проанализировать.
3️⃣ При выполнении первого прохода в файле схемы появляются эндпоинты API, которые удалось вычленить из файла, с префиксом ignore. Его необходимо удалить и запустить второй проход, тем самым сгенерировав описания конечных точек:
4️⃣ Финальный шаг — скопировать полученное описание в swagger для получения удобочитаемой документации.
‼️ Удобным является поддержка в mitmproxy2swagger формата har. Можно также осуществить взаимодействие с целевым веб-сайтом и экспортировать трафик из браузера DevTools на вкладке Network и проделать шаги 2-4.
pip3 install mitmproxy2swagger или docker:git clone git@github.com:alufers/mitmproxy2swagger.git
cd mitmproxy2swagger
docker build -t mitmproxy2swagger .
Использование
mitmweb. Теперь необходимо настроить браузер, чтобы весь трафик проходил через mitmproxy.mitmproxy2swagger -i <path_to_mitmptoxy_file> -o <path_to_output_schema> -p <api_prefix>
<api_prefix> Это базовый URL-адрес API, который мы хотим проанализировать.
mitmproxy2swagger -i <path_to_mitmptoxy_file> -o <path_to_output_schema> -p <api_prefix>
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GitHub Community
Go-test-coverage — это инструмент, предназначенный для оповещения о проблемах, когда тестовое покрытие падает ниже заданного порога, что обеспечивает более высокое качество кода и предотвращает регрессию тестового покрытия с течением времени.
5️⃣ GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cyber Detective
Nuclei AI Prompts
Nuclei v3.3.9 (@pdiscoveryio) has -ai option to generate and run nuclei templates on the fly in natural language.
This is a list of prompts for this option:
- sensitive data exposure
- SQLi
- XSS
- SSRF
and more
https://github.com/reewardius/Nuclei-AI-Prompts
By twitter.com/reewardius
Nuclei v3.3.9 (@pdiscoveryio) has -ai option to generate and run nuclei templates on the fly in natural language.
This is a list of prompts for this option:
- sensitive data exposure
- SQLi
- XSS
- SSRF
and more
https://github.com/reewardius/Nuclei-AI-Prompts
By twitter.com/reewardius
❤1
Forwarded from white2hack 📚
Идём_по_киберследу_Анализ_защищенности_Active_Directory_c_помощью.pdf
10 MB
Идем по киберследу. Анализ защищенности Active Directory c помощью утилиты BloodHound, Дмитрий Неверов, 2025
👍2
Security Boulevard
https://securityboulevard.com
Apache Tomcat Remote Code Execution ...
https://www.google.ru/url?sa=t&source=web&rct=j&opi=89978449&url=https://securityboulevard.com/2025/03/apache-tomcat-remote-code-execution-vulnerability-cve-2025-24813/&ved=2ahUKEwjJ8oDXw4eMAxXjKBAIHSk1KaM4ChAWegQILRAB&usg=AOvVaw0ne5zmLiF2vOyNvXhWWT5P
https://securityboulevard.com
Apache Tomcat Remote Code Execution ...
https://www.google.ru/url?sa=t&source=web&rct=j&opi=89978449&url=https://securityboulevard.com/2025/03/apache-tomcat-remote-code-execution-vulnerability-cve-2025-24813/&ved=2ahUKEwjJ8oDXw4eMAxXjKBAIHSk1KaM4ChAWegQILRAB&usg=AOvVaw0ne5zmLiF2vOyNvXhWWT5P
Security Boulevard
Home
Security Boulevard is home of the Security Bloggers Network (SBN). A single source for news, analysis & education on issues facing cybersecurity industry.
В Bluetooth-чипе ESP32 нашли бэкдор, в зоне риска миллиард устройств
https://www.anti-malware.ru/news/2025-03-10-111332/45470
https://www.anti-malware.ru/news/2025-03-10-111332/45470
Anti-Malware
В Bluetooth-чипе ESP32 нашли бэкдор, в зоне риска миллиард устройств
Специалисты компании Tarlogic Security обнаружили недокументированные команды в микрочипе ESP32, который используется более чем в миллиарде «умных» устройств по всему миру.ESP32 разрабатывается
👍1
Forwarded from Mobile AppSec World (Yury Shabalin)
Какой первый вопрос должен быть в чате по мобильной безопасности?
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
Само собой главный вопрос, который всех интересует: “Как снять SSL Pinning?” Ну или на крайний случай, «Как обойти проверку на root”?
По сети сейчас гуляет репозиторий с фрида скриптом, который позволяет снимать пиннинг и обходить проверки на рута, так сказать два в одном!
Я долго до него добирался, так как ожидал увидеть что-то обыденное и давно известное. Но репозиторий приятно удивил! На самом деле, очень неплохая подборка способов обхода пиннинга, рута и детектов фриды.
Конечно, в особо замороченных приложениях это не спасет, но скрипт написан качественно и более того, его пока еще поддерживают.
Так что, как отправная точка, более чем!
#frida #root #sslpinning
GitHub
GitHub - 0xCD4/SSL-bypass: SSL bypass check
SSL bypass check. Contribute to 0xCD4/SSL-bypass development by creating an account on GitHub.