Тестер безопасности приложений Latio (репозиторий GitHub)
LAST (Latio Application Security Tester) использует OpenAI для сканирования кода на наличие проблем безопасности из командной строки. Инструмент можно настроить на сканирование всего кода, только изменений или запуск в конвейере.

https://github.com/latiotech/LAST

Сталкер (репозиторий GitHub)
Stalker — это инструмент управления поверхностью атаки (ASM), в котором большое внимание уделяется расширяемости. Он оптимизирует и автоматизирует разведывательные операции, предоставляя вам возможность расширения его функциональных возможностей. Его веб-интерфейс обеспечивает легкий доступ к данным и обмен ими со всеми заинтересованными сторонами. https://github.com/red-kite-solutions/stalker

Исследователь обнаружил одну из крупнейших свалок паролей в новейшей истории (3 минуты чтения)
Исследователь обнаружил дамп паролей, содержащий почти 71 миллион уникальных учетных данных для различных сайтов, циркулирующих в Интернете. Этот дамп паролей уникален среди многих других многосайтовых дампов, поскольку он содержит почти 25 миллионов учетных данных, которые никогда раньше не были раскрыты. Учетные данные были собраны вредоносным ПО-вором, работающим на взломанных машинах.

https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale

7 наиболее распространенных атак на внешний интерфейс

https://blog.bitsrc.io/top-7-frontend-security-attacks-2e2b56dc2bcc

Ладья на XSS: как я хакнул chess.com детским эксплойтом

Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему!

В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости (Cross-Site Scripting, межсайтовый скриптинг) на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com. Но для начала небольшое вступление (в котором будет затронута немного менее серьёзная, но достаточно занятная, уязвимость OSRF (On-site Request Forgery, подделка запросов на сайте). https://habr.com/ru/companies/ruvds/articles/790330/

Раскрытие возможностей Scapy для фаззинга сети (3 минуты чтения)
В этом сообщении блога представлены инструкции по установке Scapy и демонстрируется его полезность при использовании для фаззинга FTP-сервера. Scapy — мощный инструмент для тестирования безопасности сети и приложений. Он предлагает широкие возможности манипулирования пакетами и может использоваться для фаззинга сетевых протоколов и протоколов конкретных приложений, а также для имитации атак типа «отказ в обслуживании».

https://www.darkrelay.com/post/unleashing-the-power-of-scapy-for-network-fuzzing

6 сканеров уязвимостей API

Крайне важно обеспечить безопасность и актуальность ваших API с использованием новейших мер безопасности. Но как узнать, безопасны ли ваши API? Ответ прост — с помощью сканера уязвимостей API. Сканеры уязвимостей могут обнаружить потенциальные угрозы безопасности в ваших API и помочь вам принять необходимые меры для предотвращения любых вредоносных атак со стороны хакеров . https://nordicapis.com/api-vulnerability-scanners

Основы безопасности Kubernetes: аутентификация (8 минут чтения)
В этом посте рассматривается аутентификация кластера Kubernetes. Он начинается с изучения внутренних методов аутентификации кластера, таких как клиентские сертификаты и учетные записи служб, а затем рассматриваются внешние методы аутентификации, такие как OIDC, для аутентификации в kube-api. Публикация завершается обзором того, как аутентифицироваться в других компонентах Kubernetes.

https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-3

Awesome GraphQL Security — это тщательно подобранный список платформ, программного обеспечения, библиотек и ресурсов GraphQL Security. Список разделен на наступательные, нейтральные и защитные инструменты.

https://github.com/Escape-Technologies/awesome-graphql-security

Как использовать LLM в качестве оружия для автоматического взлома веб-сайтов

https://www.theregister.com/2024/02/17/ai_models_weaponized

🔑 Потоки OAuth 2.0 объяснены в GIF-файлах

https://dev.to/hem/oauth-2-0-flows-explained-in-gifs-2o7a

Пароли в открытом доступе: ищем с помощью машинного обучения.

Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. 

Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?

Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.  

Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/

Безопасность фронтенд-приложений: советы и подсказки
Комплексное руководство по безопасности приложений

https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66

В чем разница между версиями TLS?

https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6

🔒 Составленный контрольный список из более чем 300 советов по защите цифровой безопасности и конфиденциальности в 2024 году.

https://github.com/Lissy93/personal-security-checklist

Как система автоматизации обнаружила учетные данные администратора по умолчанию

Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .

https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307

Платформа управления секретами с открытым исходным кодом : синхронизируйте секреты/конфигурации внутри вашей команды/инфраструктуры и предотвращайте утечку секретов.

https://github.com/Infisical/infisical

Странный и очень прибыльный мир конкурсов писателей-киберпреступников

Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?


На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/

Аутентификация для WebSocket и SSE: до сих пор нет стандарта?

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.

В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/

JWT-аутентификация в NodeJS

Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs