Руководство по защите удаленного доступа с помощью ключей SSH

Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf

3 самые простые ошибки, которые вы можете найти прямо сейчас [гарантировано]

https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7

Файл LNK, замаскированный под сертификат, распространяющий вредоносное ПО RokRAT (5 минут чтения)
Аналитический центр безопасности AhnLab выявил северокорейскую кампанию, нацеленную на южнокорейцев, с помощью вредоносного файла LNK. Файл распространяет загрузчик вредоносной программы RokRAT C2. В этой статье подробно рассматривается загрузчик и IoC для кампании.

Разоблачение Tycoon 2FA: скрытый набор для фишинга, используемый для обхода Microsoft 365 и Google MFA (7 минут чтения)
Tycoon 2FA — это платформа «фишинг как услуга», которая недавно была обновлена ​​для повышения эффективности предотвращения обнаружения. Инструментарий опирается на то, что жертвы вводят свою информацию в инфраструктуру, контролируемую злоумышленниками. После запроса MFA файлы cookie сеанса передаются злоумышленнику. В этой статье представлены некоторые реальные примеры и способы защиты.

Использование туннелирования DNS для отслеживания и сканирования (13 минут чтения)
В этом сообщении блога описывается техника атаки DNS-туннелирования, которая позволяет злоумышленникам скрывать и передавать данные через DNS-трафик. Злоумышленники могут использовать DNS-туннелирование для отслеживания действий пользователей и связи со скомпрометированными хостами. Организации могут эффективно обнаруживать и смягчать кампании по туннелированию DNS, анализируя такие показатели, как домены и IP-адреса.

🔒Внимание специалистов по кибербезопасности. Вышла общая система оценки уязвимостей (CVSS) v4.0, которая заменила 8-летнюю версию CVSS v3.0. Узнайте, как это обновление улучшает оценку уязвимостей и помогает повысить вашу киберустойчивость. https://www.first.org/cvss/v4-0/

Arcjet помогает разработчикам защитить свои приложения всего за несколько строк кода. Внедрите ограничение скорости, защиту от ботов, проверку электронной почты и защиту от распространенных атак.

https://github.com/arcjet/arcjet-js

SignSaboteur — это расширение Burp Suite для редактирования, подписи и проверки различных подписанных веб-токенов.

https://github.com/d0ge/sign-saboteur

Освоение безопасного CI/CD для ECS с помощью действий GitHub

https://dev.to/suzuki0430/building-a-secure-cicd-workflow-for-ecs-with-github-actions-gde

Безопасность JavaScript: простые методы защиты вашего интерфейса

https://dev.to/buildwebcrumbs/javascript-security-simple-practices-to-secure-your-frontend-18ii

Критическая ошибка, приводящая к DoS, RCE и утечкам данных на всех основных облачных платформах (3 минуты чтения)
Исследователи обнаружили серьезную уязвимость, связанную с повреждением памяти, получившую название «Linguistic Lumberjack» в Fluent Bit, утилите облачного ведения журналов с открытым исходным кодом, которую скачали более 3 миллиардов раз и широко используют крупные организации и поставщики облачных услуг, такие как AWS, Microsoft и Google Cloud. Эта уязвимость потенциально делает возможным отказ в обслуживании, утечку данных и удаленное выполнение кода в облачных средах.

https://www.darkreading.com/cloud-security/critical-bug-dos-rce-data-leaks-in-all-major-cloud-platforms

Слежка через пуш-уведомления на смартфонах

Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).

Довольно интересно, как работает такой метод выслеживания.

Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.

https://habr.com/ru/companies/globalsign/articles/815425/

Как защитить ваше приложение Django — лучшие практики и примеры кода

В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.

https://www.freecodecamp.org/news/how-to-secure-your-django-app

Тонкая настройка Semgrep для Ruby Security: Pundit и SQL-инъекция

https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html

SSL для локального хоста теперь занимает 5 секунд.

https://dev.to/cheeselemon/ssl-in-localhost-takes-5-seconds-now-460i

Сборник ресурсов по проектированию, внедрению и эксплуатации средств обнаружения с целью упреждающего выявления вредоносной или несанкционированной деятельности.

https://github.com/infosecB/awesome-detection-engineering

Утечка учетных данных при захвате поддомена (6 минут чтения)
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.

https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover

Prowler — это инструмент безопасности с открытым исходным кодом для AWS, Azure, GCP и Kubernetes, предназначенный для проведения оценок безопасности, аудита, реагирования на инциденты, соблюдения требований, непрерывного мониторинга, усиления защиты и готовности к криминалистической экспертизе. В него входят CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS и другие. https://github.com/prowler-cloud/prowler

Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.

https://github.com/TupleType/awesome-cicd-attacks

Этот очень простой инструмент извлекает и отображает данные из функции восстановления в Windows 11, обеспечивая простой способ доступа к информации о снимках активности вашего ПК.

https://github.com/xaitax/TotalRecall

Перейди по ссылке, и я узнаю твой номер

В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.

Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. https://habr.com/ru/articles/819595/

Как защитить SaaS-приложения будущего (6 минут чтения)
В этом посте рассказывается о проблемах идентификации, с которыми сталкиваются современные SaaS-приложения, и о более сложных способах, с помощью которых злоумышленники ищут доступ. В нем изложены требования единого входа, подготовки пользователей (через SCIM) и программного доступа к журналам в качестве требований для современных приложений SaaS. Он также предлагает подтверждение владения, профили оценки непрерывного доступа и универсальный выход из системы для SaaS-приложений будущего.

https://sec.okta.com/appsofthefuture

Betterscan — это набор инструментов оркестрации, который использует самые современные инструменты для сканирования исходного кода и инфраструктуры IaC, а также анализа рисков безопасности и соответствия требованиям.

https://github.com/topcodersonline-solutions/betterscan-ce