Обход 403-х как ПРО!

Уязвимость Broken Access Control — это тип уязвимости безопасности, которая позволяет несанкционированному пользователю получить доступ к ограниченным ресурсам. Используя эту уязвимость, злоумышленники могут обойти стандартные процедуры безопасности и получить несанкционированный доступ к конфиденциальной информации или системам.

Вы могли заметить, что для чувствительных конечных точек, таких как .htaccess, config.php и т. д., сервер обычно возвращает запрещенный ответ 403. Но что это значит? https://shrirangdiwakar.medium.com/bypassing-403s-like-a-pro-2-100-broken-access-control-66beef4afa8c

Как проверить, используется ли порт в Linux или Unix

Важно проверить, какие порты прослушивают сетевые интерфейсы сервера. Вам нужно обратить внимание на открытые порты, чтобы обнаружить вторжение. Помимо вторжения, для устранения неполадок может потребоваться проверить, не используется ли уже порт другим приложением на ваших серверах. Например, вы можете установить сервер Apache и Nginx в одной системе. Поэтому необходимо знать, использует ли Apache или Nginx TCP-порт # 80/443. В этом кратком руководстве приведены шаги по использованию команд netstat, nmap и lsof для проверки используемых портов и просмотра приложения, использующего порт. https://www.cyberciti.biz/faq/unix-linux-check-if-port-is-in-use-command/

Этот репозиторий будет содержать множество карт памяти для технологий кибербезопасности, методологий, курсов и сертификатов в древовидной структуре, чтобы дать краткие сведения о них.

https://github.com/Ignitetechnologies/Mindmap

Тест: можете ли вы защититься от XSS-уязвимости?

Во всех заданиях вы будете решать один и тот же вопрос: как правильно отобразить переменную $strна HTML-странице, не создавая при этом XSS-уязвимости . Основой защиты является экранирование , то есть замена символов со специальным значением соответствующими последовательностями. Например, при выводе в HTML-текст строки, в которой символ <имеет особое значение (указывающее на начало тега), мы заменяем его на HTML-сущность &lt;, и браузер корректно отображает символ <.

Будьте бдительны, так как уязвимость XSS очень серьезна. Это может привести к тому, что злоумышленник получит контроль над страницей или даже учетной записью пользователя. Удачи, и пусть вам удастся сохранить HTML-страницу в безопасности! https://blog.nette.org/en/quiz-can-you-defend-against-xss-vulnerability

20 лучших практик безопасности сервера OpenSSH

На этой странице показано, как защитить ваш сервер OpenSSH, работающий в Linux или Unix-подобной системе, чтобы улучшить безопасность sshd . https://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

▫️Основы безопасности контейнеров: изучение контейнеров как процессов https://shly.link/GtqU6
▫️Основы безопасности контейнеров, часть 2: Изоляция и пространства имен https://shly.link/pFqFR
▫️Основы безопасности контейнеров, часть 3: Возможности https://shly.link/i5Kin
▫️Основы безопасности контейнеров, часть 4: Cgroups https://shly.link/08qnx

История одной уязвимости.

Всем привет. Сегодня я поведаю о дыре в безопасности одного открытого проекта — от выявления до устранения, а также как решая заявку с багом, невольно стал исследователем уязвимостей.

Читать дальше → https://habr.com/ru/companies/ruvds/articles/734306

Эксплуатация MOVEit Transfer — это не просто SQL-инъекция ( 👀). Мы обнаружили самый последний этап цепочки атак, чтобы сбросить human2.aspx, что в конечном итоге приводит к удаленному выполнению кода ‼️

Проверьте все, что мы накопали: https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response

Почему новые домены .zip и .mov — подарок «Гугла» мошенникам.
В последние годы обширный список доменов первого уровня (top level domains, TLD) регулярно пополняется: всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero, .club итд.

Следуя за спросом, Google анонсировал в мае 8 новых доменов, включая два неотличимых от популярных расширений файлов адреса: .zip и .mov. От остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. IT и ИБ-специалисты немедленно подняли тревогу о проблемах этого TLD: возможная путаница, ошибки в обработке ссылок и новые схемы фишинга.

Не прошло и месяца, как уже были обнаружили первые примеры реального фишинга с использованием этого подарка Google скамерам. Бороться с этим можно и нужно, но не лучше ли было бы просто признать ошибку и разделегерировать эти домены насовсем?

Читать далее https://habr.com/ru/companies/xeovo/articles/740642/

Отличное введение в концепции криптографии для начинающих

Часть 1: https://sergioprado.blog/introduction-to-encryption-for-embedded-linux-developers/
Часть 2: https://sergioprado.blog/a-hands-on-approach-to-symmetric-key-encryption/
Часть 3: https://sergioprado.blog/asymmetric-key-encryption-and-digital-signatures-in-practice/

Google недавно выпустил новый сертификат в области кибербезопасности. Вам не нужно никакого опыта, чтобы начать, так как он был разработан для начинающих. В этом руководстве объясняется, что такое сертификат специалиста по кибербезопасности и как начать работу.

https://www.freecodecamp.org/news/cybersecurity-professional-certificate-by-google/

Мощный сенсорный инструмент для обнаружения панелей входа и сканирования POST Form SQLi

https://github.com/Mr-Robert0/Logsensor

Вирусы на серверах компании — как это бывает?.

Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для разработки. И тут мне вспомнилась собственная аналогичная проблема, которая произошла год тому назад. Вот эту страшилку и хотел бы рассказать. Думаю, будет полезна как начинающим сисадминам и девопсам, так и вообще людям, которые каким-то боком с линуксовыми серверами связаны, но серьёзного пороха ещё не нюхали.

https://habr.com/ru/articles/738984/

Бесплатный курс по анализу вредоносных программ, охватывает концепции вредоносных программ, анализ вредоносных программ и методы обратного проектирования

https://class.malware.re/

Безопасно переносите вещи с одного компьютера на другой.

Этот пакет предоставляет библиотеку и инструмент командной строки с именем wormhole, который позволяет переносить файлы и каталоги произвольного размера (или короткие фрагменты текста) с одного компьютера на другой. https://github.com/magic-wormhole/magic-wormhole

Как я обнаружил ошибку SQL Injection при использовании мобильного телефона.

https://medium.com/@0xnaeem/how-i-found-a-sql-injection-bug-in-using-my-cellphone-5b5193fdc314

История одной XSS в Telegram.

Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам интересный и относительно простой пример XSS, но и обозначить причины, по которым, возможно, не стоит тратить свои усилия на участие в багбаунти программе Telegram.

Читать далее https://habr.com/ru/articles/744316/

API под атакой: как подготовиться к взлому и как реагировать на него

В этой статье рассматривается тема нарушений безопасности API и дается ценная информация о том, как эффективно подготовиться к таким атакам и отреагировать на них. https://dzone.com/articles/apis-under-attack-how-to-prepare-for-and-respond-t