Сталкер (репозиторий GitHub)
Stalker — это инструмент управления поверхностью атаки (ASM), в котором большое внимание уделяется расширяемости. Он оптимизирует и автоматизирует разведывательные операции, предоставляя вам возможность расширения его функциональных возможностей. Его веб-интерфейс обеспечивает легкий доступ к данным и обмен ими со всеми заинтересованными сторонами. https://github.com/red-kite-solutions/stalker

Исследователь обнаружил одну из крупнейших свалок паролей в новейшей истории (3 минуты чтения)
Исследователь обнаружил дамп паролей, содержащий почти 71 миллион уникальных учетных данных для различных сайтов, циркулирующих в Интернете. Этот дамп паролей уникален среди многих других многосайтовых дампов, поскольку он содержит почти 25 миллионов учетных данных, которые никогда раньше не были раскрыты. Учетные данные были собраны вредоносным ПО-вором, работающим на взломанных машинах.

https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale

7 наиболее распространенных атак на внешний интерфейс

https://blog.bitsrc.io/top-7-frontend-security-attacks-2e2b56dc2bcc

Ладья на XSS: как я хакнул chess.com детским эксплойтом

Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему!

В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости (Cross-Site Scripting, межсайтовый скриптинг) на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com. Но для начала небольшое вступление (в котором будет затронута немного менее серьёзная, но достаточно занятная, уязвимость OSRF (On-site Request Forgery, подделка запросов на сайте). https://habr.com/ru/companies/ruvds/articles/790330/

Раскрытие возможностей Scapy для фаззинга сети (3 минуты чтения)
В этом сообщении блога представлены инструкции по установке Scapy и демонстрируется его полезность при использовании для фаззинга FTP-сервера. Scapy — мощный инструмент для тестирования безопасности сети и приложений. Он предлагает широкие возможности манипулирования пакетами и может использоваться для фаззинга сетевых протоколов и протоколов конкретных приложений, а также для имитации атак типа «отказ в обслуживании».

https://www.darkrelay.com/post/unleashing-the-power-of-scapy-for-network-fuzzing

6 сканеров уязвимостей API

Крайне важно обеспечить безопасность и актуальность ваших API с использованием новейших мер безопасности. Но как узнать, безопасны ли ваши API? Ответ прост — с помощью сканера уязвимостей API. Сканеры уязвимостей могут обнаружить потенциальные угрозы безопасности в ваших API и помочь вам принять необходимые меры для предотвращения любых вредоносных атак со стороны хакеров . https://nordicapis.com/api-vulnerability-scanners

Основы безопасности Kubernetes: аутентификация (8 минут чтения)
В этом посте рассматривается аутентификация кластера Kubernetes. Он начинается с изучения внутренних методов аутентификации кластера, таких как клиентские сертификаты и учетные записи служб, а затем рассматриваются внешние методы аутентификации, такие как OIDC, для аутентификации в kube-api. Публикация завершается обзором того, как аутентифицироваться в других компонентах Kubernetes.

https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-3

Awesome GraphQL Security — это тщательно подобранный список платформ, программного обеспечения, библиотек и ресурсов GraphQL Security. Список разделен на наступательные, нейтральные и защитные инструменты.

https://github.com/Escape-Technologies/awesome-graphql-security

Как использовать LLM в качестве оружия для автоматического взлома веб-сайтов

https://www.theregister.com/2024/02/17/ai_models_weaponized

🔑 Потоки OAuth 2.0 объяснены в GIF-файлах

https://dev.to/hem/oauth-2-0-flows-explained-in-gifs-2o7a

Пароли в открытом доступе: ищем с помощью машинного обучения.

Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. 

Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?

Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.  

Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/

Безопасность фронтенд-приложений: советы и подсказки
Комплексное руководство по безопасности приложений

https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66

В чем разница между версиями TLS?

https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6

🔒 Составленный контрольный список из более чем 300 советов по защите цифровой безопасности и конфиденциальности в 2024 году.

https://github.com/Lissy93/personal-security-checklist

Как система автоматизации обнаружила учетные данные администратора по умолчанию

Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .

https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307

Платформа управления секретами с открытым исходным кодом : синхронизируйте секреты/конфигурации внутри вашей команды/инфраструктуры и предотвращайте утечку секретов.

https://github.com/Infisical/infisical

Странный и очень прибыльный мир конкурсов писателей-киберпреступников

Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?


На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/

Аутентификация для WebSocket и SSE: до сих пор нет стандарта?

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.

В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/

JWT-аутентификация в NodeJS

Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs

Фишинг «фичи» Телеграма

Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.

В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/