Как автоматизировать тестирование безопасности REST API
Разработчики и начинающие стартапы создают REST API для поддержки мобильных, веб-приложений и API-приложений. Большинство API общедоступны и редко проходят надлежащий цикл тестирования безопасности.
https://shly.link/devi8w4
Разработчики и начинающие стартапы создают REST API для поддержки мобильных, веб-приложений и API-приложений. Большинство API общедоступны и редко проходят надлежащий цикл тестирования безопасности.
https://shly.link/devi8w4
Лучшие практики для защиты вашего API
Изучите различные риски, связанные с уязвимостями API, и изучите распространенные рекомендации по безопасности API для реализации надежных механизмов безопасности.
https://shly.link/MXj7e
Изучите различные риски, связанные с уязвимостями API, и изучите распространенные рекомендации по безопасности API для реализации надежных механизмов безопасности.
https://shly.link/MXj7e
DZone
Best Practices to Secure Your API
Explore various risks associated with API vulnerabilities while learning common API security best practices to implement robust security mechanisms.
Защита API с помощью Transport Layer Security (TLS)
___________________________
Протокол Transport Layer Security (TLS) обеспечивает конфиденциальность и целостность данных при передаче, а взаимная проверка подлинности TLS (mTLS) защищает ваши API от злоумышленников.
https://shly.link/Rz7XY
___________________________
Протокол Transport Layer Security (TLS) обеспечивает конфиденциальность и целостность данных при передаче, а взаимная проверка подлинности TLS (mTLS) защищает ваши API от злоумышленников.
https://shly.link/Rz7XY
Tiger — инструмент аудита безопасности Unix и обнаружения вторжений
Это бесплатная коллекция сценариев оболочки с открытым исходным кодом для аудита безопасности и обнаружения вторжений на хост для Unix-подобных систем, таких как Linux. Это средство проверки безопасности, полностью написанное на языке оболочки и использующее в серверной части различные инструменты POSIX. Его основная цель — проверить конфигурацию и состояние системы.
https://shly.link/vLDF8
Это бесплатная коллекция сценариев оболочки с открытым исходным кодом для аудита безопасности и обнаружения вторжений на хост для Unix-подобных систем, таких как Linux. Это средство проверки безопасности, полностью написанное на языке оболочки и использующее в серверной части различные инструменты POSIX. Его основная цель — проверить конфигурацию и состояние системы.
https://shly.link/vLDF8
Tiger – The Unix Security Audit and Intrusion Detection Tool
Tiger - The Unix Security Audit and Intrusion Detection Tool
Tiger is a free, open source collections of shell scripts for security audit and host intrusion detection, for Unix-like systems such as Linux.
Forwarded from Network architecture and Administration
Как защитить сервер Linux
_______________________
Развивающееся практическое руководство по обеспечению безопасности сервера Linux, которое, надеюсь, также научит вас немного о безопасности и о том, почему это важно.
https://shly.link/ghTLAY
_______________________
Развивающееся практическое руководство по обеспечению безопасности сервера Linux, которое, надеюсь, также научит вас немного о безопасности и о том, почему это важно.
https://shly.link/ghTLAY
GitHub
GitHub - imthenachoman/How-To-Secure-A-Linux-Server: An evolving how-to guide for securing a Linux server.
An evolving how-to guide for securing a Linux server. - imthenachoman/How-To-Secure-A-Linux-Server
Оружие веб-хакера / Коллекция крутых инструментов, используемых веб-хакерами. Удачного взлома, удачной охоты за ошибками
https://shly.link/ghhPXY
https://shly.link/ghhPXY
Тщательно подобранный список потрясающих инструментов и ресурсов для разведки с открытым исходным кодом
https://shly.link/gh6C2J
https://shly.link/gh6C2J
GitHub
GitHub - jivoi/awesome-osint: :scream: A curated list of amazingly awesome OSINT
:scream: A curated list of amazingly awesome OSINT - GitHub - jivoi/awesome-osint: :scream: A curated list of amazingly awesome OSINT
10 основных ошибок при расследовании киберинцидентов
Представьте, что кто-то ночью снял деньги со счета компании. На следующее утро вспыхивает паника, что приводит к еще большим проблемам. ИТ-отдел может переустановить скомпрометированную систему с нуля или восстановить ее из резервной копии. Переустановка с нуля сотрет все следы, оставленные злоумышленниками придется искать улики в других системах. Восстановление из резервной копии сопряжено с риском случайного восстановления скомпрометированного образа. В этой статье мы опишем распространенные ошибки, которые допускают эксперты при реагировании на инциденты безопасности.
https://shly.link/habr1E8W
Представьте, что кто-то ночью снял деньги со счета компании. На следующее утро вспыхивает паника, что приводит к еще большим проблемам. ИТ-отдел может переустановить скомпрометированную систему с нуля или восстановить ее из резервной копии. Переустановка с нуля сотрет все следы, оставленные злоумышленниками придется искать улики в других системах. Восстановление из резервной копии сопряжено с риском случайного восстановления скомпрометированного образа. В этой статье мы опишем распространенные ошибки, которые допускают эксперты при реагировании на инциденты безопасности.
https://shly.link/habr1E8W
OWASP Kubernetes Top 10
Список призван помочь специалистам по безопасности, системным администраторам и разработчикам программного обеспечения определить приоритеты рисков в экосистеме Kubernetes. Это приоритетный список рисков, основанный на данных, собранных в организациях разной степени зрелости и сложности.
https://github.com/OWASP/www-project-kubernetes-top-ten
rusty-ferris-club/shellclear
Простой и быстрый способ защитить историю команд оболочки. Показывайте сводку конфиденциальных команд при открытии нового терминала, удаляйте конфиденциальные команды из истории вашей оболочки
https://github.com/rusty-ferris-club/shellclear
hansmach1ne/lfimap
Средство обнаружения и эксплуатации локального включения файлов
https://github.com/hansmach1ne/lfimap
Список призван помочь специалистам по безопасности, системным администраторам и разработчикам программного обеспечения определить приоритеты рисков в экосистеме Kubernetes. Это приоритетный список рисков, основанный на данных, собранных в организациях разной степени зрелости и сложности.
https://github.com/OWASP/www-project-kubernetes-top-ten
rusty-ferris-club/shellclear
Простой и быстрый способ защитить историю команд оболочки. Показывайте сводку конфиденциальных команд при открытии нового терминала, удаляйте конфиденциальные команды из истории вашей оболочки
https://github.com/rusty-ferris-club/shellclear
hansmach1ne/lfimap
Средство обнаружения и эксплуатации локального включения файлов
https://github.com/hansmach1ne/lfimap
GitHub
GitHub - OWASP/www-project-kubernetes-top-ten: OWASP Foundation Web Respository
OWASP Foundation Web Respository. Contribute to OWASP/www-project-kubernetes-top-ten development by creating an account on GitHub.
1 октября 2022 г. вступают в силу постановления ЦБ РФ 787-П и 779-П, которые выдвигают суровые требования к доступности технологических процессов банков и НФО.
⚡️ Как узнать, насколько ваша ИТ-инфраструктура соответствует этим требованиям?
⚡️ С чего начать их реализацию и как поддерживать необходимый уровень?
⚡️ Чего ожидать от новых стандартов ГОСТ Р?
Ответы на эти и другие вопросы будут 13 сентября на бесплатном вебинаре «Как выполнить новые требования ЦБ к доступности систем и безопасности».
Подробности и регистрация здесь
⚡️ Как узнать, насколько ваша ИТ-инфраструктура соответствует этим требованиям?
⚡️ С чего начать их реализацию и как поддерживать необходимый уровень?
⚡️ Чего ожидать от новых стандартов ГОСТ Р?
Ответы на эти и другие вопросы будут 13 сентября на бесплатном вебинаре «Как выполнить новые требования ЦБ к доступности систем и безопасности».
Подробности и регистрация здесь
Как злоумышленники могут обойти 2FA
Поскольку пользователям не нужно устанавливать другое приложение и они уже знают, как работать с SMS , большинство разработчиков, как правило, используют эту опцию в качестве второго кода. Но SMS не предназначено для обеспечения безопасности , это просто служба для отправки коротких сообщений
https://shly.link/mdmWZKi
Поскольку пользователям не нужно устанавливать другое приложение и они уже знают, как работать с SMS , большинство разработчиков, как правило, используют эту опцию в качестве второго кода. Но SMS не предназначено для обеспечения безопасности , это просто служба для отправки коротких сообщений
https://shly.link/mdmWZKi
Medium
How attackers can bypass 2FA
There are several ways to implement 2FA: SMS 2FA, Authenticator App, Push-based 2FA and Security Keys,… .
Forwarded from Daily Dev Jokes. Юмор.
This media is not supported in your browser
VIEW IN TELEGRAM
Кибербезопасность в двух словах.
По сообщениям, грабители банков на Ближнем Востоке «клонировали» чей-то голос, чтобы помочь с ограблением 35 миллионов долларов
Согласно новому отчету Forbes , преступники похитили около 35 миллионов долларов из банка Объединенных Арабских Эмиратов с помощью искусственного интеллекта . «Депфейк» использовался для того, чтобы обмануть сотрудника банка, заставив его думать, что он передает наличные от имени законной деловой операции, связанной с банком.
https://shly.link/QqTX3
Согласно новому отчету Forbes , преступники похитили около 35 миллионов долларов из банка Объединенных Арабских Эмиратов с помощью искусственного интеллекта . «Депфейк» использовался для того, чтобы обмануть сотрудника банка, заставив его думать, что он передает наличные от имени законной деловой операции, связанной с банком.
https://shly.link/QqTX3
Gizmodo
Bank Robbers in the Middle East Reportedly 'Cloned' Someone's Voice to Assist with $35 Million Heist
Deepfake technology was used to simulate the voice of a bank manager's business associate, which led to illegitimate financial transfers.
30 поисковых систем для исследователей кибербезопасности (часть 1 из 3)
Это первая из трех частей поисковых систем, используемых исследователями безопасности.
https://shly.link/EGTEU
Это первая из трех частей поисковых систем, используемых исследователями безопасности.
https://shly.link/EGTEU
AM LIVE: 20 сентября в 11:00
онлайн-конференция
DLP для кадровой безопасности организации
В прямом эфире расскажем как минимизировать кадровые риски организации, вовремя обнаружить злонамеренные и нежелательные действия сотрудников, повысить лояльность и эффективность работы персонала.
Ключевые вопросы:
- Что такое кадровая безопасность?
- Технологии и практика применения DLP для кадровой безопасности
- Сценарии применения DLP для целей кадровой безопасности
- Перспективы применения и эволюции DLP для кадровой безопасности
Полная программа и регистрация:
https://live.anti-malware.ru/dlp-for-staff-security?utm_refcode=a994d958588b2b83e21e519e9818a904716a189a
онлайн-конференция
DLP для кадровой безопасности организации
В прямом эфире расскажем как минимизировать кадровые риски организации, вовремя обнаружить злонамеренные и нежелательные действия сотрудников, повысить лояльность и эффективность работы персонала.
Ключевые вопросы:
- Что такое кадровая безопасность?
- Технологии и практика применения DLP для кадровой безопасности
- Сценарии применения DLP для целей кадровой безопасности
- Перспективы применения и эволюции DLP для кадровой безопасности
Полная программа и регистрация:
https://live.anti-malware.ru/dlp-for-staff-security?utm_refcode=a994d958588b2b83e21e519e9818a904716a189a
Как Script Kiddie и 25 строк Python теоретически могут опустошить американские заправки
https://shly.link/mdmLqYS
https://shly.link/mdmLqYS
Google и Microsoft могут получить ваши пароли через проверку орфографии веб-браузера
Расширенные функции проверки орфографии в веб-браузерах Google Chrome и Microsoft Edge передают данные формы, включая личную информацию (PII) и, в некоторых случаях, пароли, в Google и Microsoft соответственно.
Хотя это может быть известной и предполагаемой функцией этих веб-браузеров, она вызывает опасения по поводу того, что происходит с данными после передачи и насколько безопасной может быть практика, особенно когда речь идет о полях пароля.
И Chrome, и Edge поставляются с включенными базовыми средствами проверки орфографии. Но такие функции, как расширенная проверка орфографии Chrome или Microsoft Editor, когда пользователь включает их вручную, представляют потенциальную угрозу конфиденциальности.
https://shly.link/PvRqz
Расширенные функции проверки орфографии в веб-браузерах Google Chrome и Microsoft Edge передают данные формы, включая личную информацию (PII) и, в некоторых случаях, пароли, в Google и Microsoft соответственно.
Хотя это может быть известной и предполагаемой функцией этих веб-браузеров, она вызывает опасения по поводу того, что происходит с данными после передачи и насколько безопасной может быть практика, особенно когда речь идет о полях пароля.
И Chrome, и Edge поставляются с включенными базовыми средствами проверки орфографии. Но такие функции, как расширенная проверка орфографии Chrome или Microsoft Editor, когда пользователь включает их вручную, представляют потенциальную угрозу конфиденциальности.
https://shly.link/PvRqz
BleepingComputer
Google, Microsoft can get your passwords via web browser's spellcheck
Enhanced Spellcheck features in Google Chrome and Microsoft Edge web browsers transmit form data, including personally identifiable information (PII) and in some cases, passwords, to Google and Microsoft respectively.
Анонимный подбор имен пользователей Active Directory с контроллеров домена путем злоупотребления запросами LDAP Ping (cLDAP).
https://shly.link/ghP4zA
https://shly.link/ghP4zA
GitHub
GitHub - lkarlslund/ldapnomnom: Anonymously bruteforce Active Directory usernames from Domain Controllers by abusing LDAP Ping…
Anonymously bruteforce Active Directory usernames from Domain Controllers by abusing LDAP Ping requests (cLDAP) - GitHub - lkarlslund/ldapnomnom: Anonymously bruteforce Active Directory usernames f...