Пароли в открытом доступе: ищем с помощью машинного обучения.
Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором.
Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?
Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.
Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/
Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором.
Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?
Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.
Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/
Хабр
Пароли в открытом доступе: ищем с помощью машинного обучения
Я больше 10 лет работаю в сфере IT и информационной безопасности. И знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. Мы разрабатываем самые надежные способы...
Безопасность фронтенд-приложений: советы и подсказки
Комплексное руководство по безопасности приложений
https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66
Комплексное руководство по безопасности приложений
https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66
Medium
Frontend Application Security: Tips and Tricks
A Comprehensive Guide to Application Security
В чем разница между версиями TLS?
https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6
https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6
Medium
What’s the Difference Between TLS Versions?
TLS (Transport Layer Security) saved the world of cybersecurity. Without it, our communications could be open to being spied upon, and…
🔒 Составленный контрольный список из более чем 300 советов по защите цифровой безопасности и конфиденциальности в 2024 году.
https://github.com/Lissy93/personal-security-checklist
https://github.com/Lissy93/personal-security-checklist
GitHub
GitHub - Lissy93/personal-security-checklist: 🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in…
🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in 2024 - Lissy93/personal-security-checklist
Как система автоматизации обнаружила учетные данные администратора по умолчанию
Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .
https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307
Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .
https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307
Medium
How Automation Detected Default Admin Credential Worth $500
FREE ARTICLE LINK👈
Платформа управления секретами с открытым исходным кодом : синхронизируйте секреты/конфигурации внутри вашей команды/инфраструктуры и предотвращайте утечку секретов.
https://github.com/Infisical/infisical
https://github.com/Infisical/infisical
GitHub
GitHub - Infisical/infisical: Infisical is the open-source platform for secrets management, PKI, and SSH access.
Infisical is the open-source platform for secrets management, PKI, and SSH access. - Infisical/infisical
Странный и очень прибыльный мир конкурсов писателей-киберпреступников
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?
На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?
На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/
Хабр
Странный и очень прибыльный мир конкурсов писателей-киберпреступников
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об...
Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.
А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.
А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/
Хабр
Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений. В статье разберем особенности...
JWT-аутентификация в NodeJS
Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs
Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs
Arindam Majumder
JWT Authentication in NodeJS
A Complete Beginner's Guide to JWT Authentication
Фишинг «фичи» Телеграма
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.
В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.
В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/
Хабр
Фишинг «фичи» Телеграма
Телеграм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все...
Кодирование, шифрование и токенизация
https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization
https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization
Bytebytego
EP102: Encoding vs Encryption vs Tokenization
This week’s system design refresher: Caching Pitfalls Every Developer Should Know (Youtube video) Encoding vs Encryption vs Tokenization Kubernetes Tools Stack Wheel Fixing bugs automatically at Meta Scale The one-line change that reduced clone times by a…
Security Week 2411: критическая уязвимость в продуктах VMware.
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357
Хабр
Security Week 2411: критическая уязвимость в продуктах VMware
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation...
Как я случайно превратила свой сокращатель ссылок в приманку для мошенников
Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.
Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/
Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.
Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/
Хабр
Как я случайно превратила свой сокращатель ссылок в приманку для мошенников
Пару месяцев назад я запустила сервис y.gy , навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com , используется множество реферальных ссылок, а...
Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а госмаразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).
Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.
https://habr.com/ru/articles/799751/
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а госмаразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).
Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.
https://habr.com/ru/articles/799751/
Хабр
Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а маразм все усиливается и усиливается, стоит еще раз поднять тему обхода этих самых...
OSINT-методы для обнаружения конфиденциальных документов, попавших в Сеть
https://christina-lekati.medium.com/osint-techniques-for-sensitive-documents-that-have-escaped-into-the-clear-web-6659f29e6010
https://christina-lekati.medium.com/osint-techniques-for-sensitive-documents-that-have-escaped-into-the-clear-web-6659f29e6010
Medium
OSINT Techniques for Sensitive Documents That Have Escaped Into The Clear Web
I have been working full-time in this industry for about 8 years. Part of my work involves conducting vulnerability assessments for…
bincapz (репозиторий GitHub)
bincapz — это инструмент для перечисления списка прогнозируемых возможностей двоичного файла. Его можно запустить в режиме сравнения, чтобы обнаружить любую уязвимость в цепочке поставок.
https://github.com/chainguard-dev/bincapz
bincapz — это инструмент для перечисления списка прогнозируемых возможностей двоичного файла. Его можно запустить в режиме сравнения, чтобы обнаружить любую уязвимость в цепочке поставок.
https://github.com/chainguard-dev/bincapz
GitHub
GitHub - chainguard-dev/malcontent: #supply #chain #attack #detection
#supply #chain #attack #detection. Contribute to chainguard-dev/malcontent development by creating an account on GitHub.
Как я обнаружил множество XSS-уязвимостей, используя неизвестные методы
https://infosecwriteups.com/how-i-found-multiple-xss-vulnerabilities-using-unknown-techniques-74f8e705ea0d
https://infosecwriteups.com/how-i-found-multiple-xss-vulnerabilities-using-unknown-techniques-74f8e705ea0d
Medium
How I Found Multiple XSS Vulnerabilities Using Unknown Techniques
Hello, everyone. I hope you are well.
Неисправимая уязвимость в чипе Apple приводит к утечке секретных ключей шифрования (5 минут чтения)
Исследователи обнаружили уязвимость побочного канала в чипах Apple M-серии. Эта уязвимость позволяет злоумышленникам извлекать секретные ключи шифрования во время обычных криптографических операций. Ошибка заложена в конструкции чипа и не может быть устранена с помощью обновлений программного обеспечения. https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips
Исследователи обнаружили уязвимость побочного канала в чипах Apple M-серии. Эта уязвимость позволяет злоумышленникам извлекать секретные ключи шифрования во время обычных криптографических операций. Ошибка заложена в конструкции чипа и не может быть устранена с помощью обновлений программного обеспечения. https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips
Ars Technica
Unpatchable vulnerability in Apple chip leaks secret encryption keys
Fixing newly discovered side channel will likely take a major toll on performance.
Tailscale SSH теперь общедоступен
Мы рады сообщить, что Tailscale SSH теперь общедоступен. Tailscale SSH позволяет Tailscale управлять аутентификацией и авторизацией SSH-соединений
https://tailscale.com/blog/tailscale-ssh-ga
Мы рады сообщить, что Tailscale SSH теперь общедоступен. Tailscale SSH позволяет Tailscale управлять аутентификацией и авторизацией SSH-соединений
https://tailscale.com/blog/tailscale-ssh-ga
Tailscale
Zero Trust SSH Access with Enhanced Security | Tailscale
Tailscale SSH is now generally available, offering seamless SSH authentication and authorization with SSO, MFA, and ACLs. Enjoy robust security, zero trust remote access, and tools like session recording and VS Code integration.