Испытание кода безопасности для разработчиков
Damn Vulnerable RESTaurant — это намеренно уязвимый API-сервис, разработанный как платформа обучения и подготовки для разработчиков, этических хакеров и инженеров по безопасности. Он охватывает популярные уязвимости API, в том числе 10 основных рисков безопасности API OWASP, предоставляя интерактивную среду для выявления и исправления уязвимостей, их эксплуатации вручную или с помощью инструментов автоматизации, а также тестирования механизмов безопасности.
https://devsec-blog.com/2024/04/security-code-challenge-for-developers-ethical-hackers-the-damn-vulnerable-restaurant
Damn Vulnerable RESTaurant — это намеренно уязвимый API-сервис, разработанный как платформа обучения и подготовки для разработчиков, этических хакеров и инженеров по безопасности. Он охватывает популярные уязвимости API, в том числе 10 основных рисков безопасности API OWASP, предоставляя интерактивную среду для выявления и исправления уязвимостей, их эксплуатации вручную или с помощью инструментов автоматизации, а также тестирования механизмов безопасности.
https://devsec-blog.com/2024/04/security-code-challenge-for-developers-ethical-hackers-the-damn-vulnerable-restaurant
DevSec Blog
Security Code Challenge - Damn Vulnerable RESTaurant | DevSec Blog
Damn Vulnerable RESTaurant is a security code challenge for developers and ethical hackers, can be used for learning and training purposes.
Как приручить SQL-инъекцию (5 минут чтения)
На протяжении более десяти лет инъекционные уязвимости буквально возглавляли списки критически опасных недостатков программного обеспечения, которые считались более серьезными, чем все другие типы уязвимостей в списках 10 лучших за 2010, 2013 и 2017 годы, составленных Open Web Application Security Project (OWASP). Тем не менее, предупреждения не смогли устранить проблемы. https://www.darkreading.com/application-security/tools-and-techniques-to-tame-sql-injection
LLM Архитектура безопасности (5 минут чтения)
В этом посте рассматриваются варианты использования, связанные с LLM Security. Проблемы, связанные с чат-ботами, по сути, являются просто проблемами DLP. Фильтрация ввода и вывода актуальна для пользовательских приложений, если вы полагаетесь на закрытые данные или кэш LLM. https://pulse.latio.tech/p/llm-security-architecture
Полное руководство по секретам в Lambda (12 минут чтения)
Подробное руководство по различным вариантам хранения секретов в Lambda. В руководстве сравниваются производительность, стоимость и возможность аудита переменных среды, хранилища параметров, диспетчера секретов и KMS. В заключение приводятся примеры ситуаций и стратегий. https://aaronstuyvenberg.com/posts/ultimate-lambda-secrets-guide
На протяжении более десяти лет инъекционные уязвимости буквально возглавляли списки критически опасных недостатков программного обеспечения, которые считались более серьезными, чем все другие типы уязвимостей в списках 10 лучших за 2010, 2013 и 2017 годы, составленных Open Web Application Security Project (OWASP). Тем не менее, предупреждения не смогли устранить проблемы. https://www.darkreading.com/application-security/tools-and-techniques-to-tame-sql-injection
LLM Архитектура безопасности (5 минут чтения)
В этом посте рассматриваются варианты использования, связанные с LLM Security. Проблемы, связанные с чат-ботами, по сути, являются просто проблемами DLP. Фильтрация ввода и вывода актуальна для пользовательских приложений, если вы полагаетесь на закрытые данные или кэш LLM. https://pulse.latio.tech/p/llm-security-architecture
Полное руководство по секретам в Lambda (12 минут чтения)
Подробное руководство по различным вариантам хранения секретов в Lambda. В руководстве сравниваются производительность, стоимость и возможность аудита переменных среды, хранилища параметров, диспетчера секретов и KMS. В заключение приводятся примеры ситуаций и стратегий. https://aaronstuyvenberg.com/posts/ultimate-lambda-secrets-guide
Darkreading
How to Tame SQL Injection
As part of its Secure by Design initiative, CISA urged companies to redouble efforts to quash SQL injection vulnerabilities. Here's how.
Критические уязвимости захвата в 92 000 устройствах D-Link, находящихся в активной эксплуатации (3 минуты чтения)
Хакеры используют уязвимости в 92 000 устройствах D-Link, чтобы удаленно получить контроль над ними. Уязвимости существуют в устройствах с истекшим сроком эксплуатации, которые больше не поддерживаются производителем. Пользователям следует обновить прошивку или заменить устаревшее оборудование, чтобы защититься от этих атак.
https://arstechnica.com/security/2024/04/hackers-actively-exploit-critical-remote-takeover-vulnerabilities-in-d-link-devices
Хакеры используют уязвимости в 92 000 устройствах D-Link, чтобы удаленно получить контроль над ними. Уязвимости существуют в устройствах с истекшим сроком эксплуатации, которые больше не поддерживаются производителем. Пользователям следует обновить прошивку или заменить устаревшее оборудование, чтобы защититься от этих атак.
https://arstechnica.com/security/2024/04/hackers-actively-exploit-critical-remote-takeover-vulnerabilities-in-d-link-devices
Ars Technica
Critical takeover vulnerabilities in 92,000 D-Link devices under active exploitation
D-Link won't be patching vulnerable NAS devices because they're no longer supported.
Крестовый поход AWS против подмены IP-адресов и DDoS-атак (7 минут чтения)
Продолжая борьбу с DDoS-атаками, компания Amazon Web Services (AWS) добилась значительного прогресса в решении давней проблемы подмены IP-адресов, которая позволяет злоумышленникам скрывать источник атак. В этом интервью AWS объясняет свой новый подход к решению проблемы https://www.securityweek.com/inside-awss-crusade-against-ip-spoofing-and-ddos-attacks
Кностик (запуск продукта)
Knostic не позволяет чат-ботам, используемым предприятиями, делиться конфиденциальной информацией с сотрудниками, у которых не должно быть к ней доступа. https://www.knostic.ai/
Продолжая борьбу с DDoS-атаками, компания Amazon Web Services (AWS) добилась значительного прогресса в решении давней проблемы подмены IP-адресов, которая позволяет злоумышленникам скрывать источник атак. В этом интервью AWS объясняет свой новый подход к решению проблемы https://www.securityweek.com/inside-awss-crusade-against-ip-spoofing-and-ddos-attacks
Кностик (запуск продукта)
Knostic не позволяет чат-ботам, используемым предприятиями, делиться конфиденциальной информацией с сотрудниками, у которых не должно быть к ней доступа. https://www.knostic.ai/
SecurityWeek
Inside AWS’s Crusade Against IP Spoofing and DDoS Attacks
SecurityWeek speaks to Tom Scholl, VP and distinguished engineer at AWS, on how the organization tackles IP Spoofing and DDoS attacks.
Глубокое погружение во внутреннее устройство Seccomp – Часть 1 (10-минутное чтение)
В этом сообщении блога рассматриваются внутренние особенности seccomp, включая его архитектуру, ключевые концепции и практические приложения. В посте представлены примеры кода ядра, относящиеся к архитектуре x86_64 с ядром Linux версии 6.7.1. Ожидается, что вторая часть статьи будет посвящена уведомлениям seccomp.
https://www.armosec.io/blog/seccomp-internals-part-1
В этом сообщении блога рассматриваются внутренние особенности seccomp, включая его архитектуру, ключевые концепции и практические приложения. В посте представлены примеры кода ядра, относящиеся к архитектуре x86_64 с ядром Linux версии 6.7.1. Ожидается, что вторая часть статьи будет посвящена уведомлениям seccomp.
https://www.armosec.io/blog/seccomp-internals-part-1
SSD killer
SSD killer — destroyer for your ssd
Привет, меня зовут Ваня, и вот коротенькая история о том, как я придумал и собрал одну штуку, и почему вам нужно срочно отдать мне все свои деньги.
А если серьезно, это устройство для оперативного аппаратного уничтожения данных вместе с носителем. По своей сути это аналог чеховского ружья, у которого цель выстрелить в нужный момент. https://habr.com/ru/companies/selectel/articles/808335/
SSD killer — destroyer for your ssd
Привет, меня зовут Ваня, и вот коротенькая история о том, как я придумал и собрал одну штуку, и почему вам нужно срочно отдать мне все свои деньги.
А если серьезно, это устройство для оперативного аппаратного уничтожения данных вместе с носителем. По своей сути это аналог чеховского ружья, у которого цель выстрелить в нужный момент. https://habr.com/ru/companies/selectel/articles/808335/
Хабр
Что такое дрифт ML-моделей и как его мониторить?
Даже при наличии качественных входных данных качество предсказаний ML-модели со временем ухудшается. Под катом рассмотрим, как команда Neoflex с помощью мониторинга обнаруживает изменения вовремя и...
DNSViz — это набор инструментов для анализа и визуализации поведения системы доменных имен (DNS), включая ее расширения безопасности (DNSSEC). Этот набор инструментов обеспечивает веб-анализ, доступный по адресу https://dnsviz.net/.
https://github.com/dnsviz/dnsviz
https://github.com/dnsviz/dnsviz
GitHub
GitHub - dnsviz/dnsviz
Contribute to dnsviz/dnsviz development by creating an account on GitHub.
Число уязвимостей в приложениях искусственного интеллекта и машинного обучения стремительно растет
Только в апреле 2024 года уже было обнаружено целых 48 уязвимостей в широко используемых проектах программного обеспечения с открытым исходным кодом (OSS), таких как MLFlow , Ray и Triton Inference Server .
Эта цифра представляет собой рост на 220% по сравнению с 15 уязвимостями, о которых впервые сообщалось в ноябре, отмечается в отчете. https://securityboulevard.com/2024/04/vulnerabilities-for-ai-and-ml-applications-are-skyrocketing/
Только в апреле 2024 года уже было обнаружено целых 48 уязвимостей в широко используемых проектах программного обеспечения с открытым исходным кодом (OSS), таких как MLFlow , Ray и Triton Inference Server .
Эта цифра представляет собой рост на 220% по сравнению с 15 уязвимостями, о которых впервые сообщалось в ноябре, отмечается в отчете. https://securityboulevard.com/2024/04/vulnerabilities-for-ai-and-ml-applications-are-skyrocketing/
Security Boulevard
Vulnerabilities for AI and ML Applications are Skyrocketing
In their haste to deploy LLM tools, organizations may overlook crucial security practices. The rise in threats like Remote Code Execution indicates an urgent need to improve security measures in AI development.
Блаухонт (репозиторий GitHub)
Blauhaunt — это набор инструментов для фильтрации и визуализации событий входа в систему, который предназначен для отслеживания событий и действий пользователя при входе в систему.
https://github.com/cgosec/Blauhaunt
Blauhaunt — это набор инструментов для фильтрации и визуализации событий входа в систему, который предназначен для отслеживания событий и действий пользователя при входе в систему.
https://github.com/cgosec/Blauhaunt
GitHub
GitHub - cgosec/Blauhaunt: A tool collection for filtering and visualizing logon events. Designed to help answering the "Cotton…
A tool collection for filtering and visualizing logon events. Designed to help answering the "Cotton Eye Joe" question (Where did you come from where did you go) in Security Incid...
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти
https://habr.com/ru/companies/selectel/articles/809669/
https://habr.com/ru/companies/selectel/articles/809669/
Хабр
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти
Когда сервер создается для личных нужд, то чаще всего внимания безопасности почти не уделяется. А ведь это фатальная ошибка… Представьте: вот арендовали вы сервер, запустили на нем SAMP или Minecraft,...
Автоматизация тестирования уязвимостей API с использованием рабочих процессов Postman (4-минутное чтение)
В этом сообщении блога обсуждается автоматизация тестирования уязвимостей API с помощью рабочих процессов Postman — функции, которая упрощает процесс демонстрации уязвимостей API без программирования. https://haymiz.dev/security/2024/04/27/automating-apis-with-postman-workflows
Prophet Security (запуск продукта)
Prophet AI for Security Operations фильтрует входящие оповещения и для каждого из них собирает, сопоставляет и анализирует данные из нескольких источников, чтобы предоставить заключение и подробное описание расследования. https://www.prophet.security/
В этом сообщении блога обсуждается автоматизация тестирования уязвимостей API с помощью рабочих процессов Postman — функции, которая упрощает процесс демонстрации уязвимостей API без программирования. https://haymiz.dev/security/2024/04/27/automating-apis-with-postman-workflows
Prophet Security (запуск продукта)
Prophet AI for Security Operations фильтрует входящие оповещения и для каждого из них собирает, сопоставляет и анализирует данные из нескольких источников, чтобы предоставить заключение и подробное описание расследования. https://www.prophet.security/
haymiz@kali:~/blog$
Automating API Vulnerability Testing Using Postman Workflows
Explore the art of automating and visually demonstrating API vulnerabilities you've identified using Postman Workflows.
GraphQL Cop (репозиторий GitHub)
GraphQL Cop — это утилита Python, которая выполняет общие тесты безопасности API GraphQL. Его можно включить в CI/CD и предоставлять запросы cURL для получения любых результатов.
https://github.com/dolevf/graphql-cop
Инспектор приложений (репозиторий GitHub)
Application Inspector — это анализатор исходного кода, созданный для выявления интересующих функций и других характеристик, чтобы ответить на вопрос «Что в коде?» быстро с помощью статического анализа с обработчиком правил на основе JSON. Он идеально подходит для сканирования компонентов перед использованием или обнаружения изменений на уровне функций.
https://github.com/microsoft/ApplicationInspector
GraphQL Cop — это утилита Python, которая выполняет общие тесты безопасности API GraphQL. Его можно включить в CI/CD и предоставлять запросы cURL для получения любых результатов.
https://github.com/dolevf/graphql-cop
Инспектор приложений (репозиторий GitHub)
Application Inspector — это анализатор исходного кода, созданный для выявления интересующих функций и других характеристик, чтобы ответить на вопрос «Что в коде?» быстро с помощью статического анализа с обработчиком правил на основе JSON. Он идеально подходит для сканирования компонентов перед использованием или обнаружения изменений на уровне функций.
https://github.com/microsoft/ApplicationInspector
GitHub
GitHub - dolevf/graphql-cop: Security Auditor Utility for GraphQL APIs
Security Auditor Utility for GraphQL APIs. Contribute to dolevf/graphql-cop development by creating an account on GitHub.
Как Apple на самом деле следит за вами
По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR. Он позволяет мне запросить копию информации, которая хранится обо мне у всяких разных компаний. Я решил сделать это у Apple, и был неприятно удивлен. https://habr.com/ru/articles/812043/
По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR. Он позволяет мне запросить копию информации, которая хранится обо мне у всяких разных компаний. Я решил сделать это у Apple, и был неприятно удивлен. https://habr.com/ru/articles/812043/
Хабр
Как Apple на самом деле следит за вами
Apple Inc По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR . Он позволяет мне запросить копию информации, которая хранится обо мне у...
Semgrep для Terraform Security (5 минут чтения)
В этой статье представлены некоторые варианты использования и примеры использования Semgrep для защиты развертываний Terraform.
https://ramimac.me/semgrep-for-terraform
В этой статье представлены некоторые варианты использования и примеры использования Semgrep для защиты развертываний Terraform.
https://ramimac.me/semgrep-for-terraform
High Signal Security
Semgrep for Terraform Security
Шпаргалка по безопасной сборке Docker-образов
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вредоносный код, получить доступ к секретным данным сборки или атаковать хост-компьютер. Поэтому защита начинается уже во время подготовки образа, с первой инструкции.
Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Продолжаю рассказывать о безопасности в Docker. Под катом расскажу, как настроить сборку образов, обеспечить безопасность и добавить сканирование в пайплайн. https://habr.com/ru/companies/selectel/articles/813047/
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит Dockerfile, то сможет совершить навредить вашим системам. Например, добавить вредоносный код, получить доступ к секретным данным сборки или атаковать хост-компьютер. Поэтому защита начинается уже во время подготовки образа, с первой инструкции.
Привет, Хабр! Меня зовут Эллада, я специалист по информационной безопасности в Selectel. Продолжаю рассказывать о безопасности в Docker. Под катом расскажу, как настроить сборку образов, обеспечить безопасность и добавить сканирование в пайплайн. https://habr.com/ru/companies/selectel/articles/813047/
Хабр
Шпаргалка по безопасной сборке Docker-образов
Каждый контейнер Docker основан на образе, который обеспечивает базу для всего, что вы когда-либо будете развертывать и запускать. Если злоумышленник как-то повлияет на сборку образа и изменит...
Kube No Trouble (репозиторий GitHub)
Kubent — это инструмент для проверки того, использует ли кластер Kubernetes устаревшие API. Его можно запускать в конвейерах CI/CD или вручную.
https://github.com/doitintl/kube-no-trouble
BurpScript (репозиторий GitHub)
BurpScript добавляет в Burp Suite возможности динамического написания сценариев, позволяя вам писать сценарии на Python или Javascript для управления HTTP-запросами и ответами.
https://github.com/ivision-research/burpscript
Kubent — это инструмент для проверки того, использует ли кластер Kubernetes устаревшие API. Его можно запускать в конвейерах CI/CD или вручную.
https://github.com/doitintl/kube-no-trouble
BurpScript (репозиторий GitHub)
BurpScript добавляет в Burp Suite возможности динамического написания сценариев, позволяя вам писать сценарии на Python или Javascript для управления HTTP-запросами и ответами.
https://github.com/ivision-research/burpscript
GitHub
GitHub - doitintl/kube-no-trouble: Easily check your clusters for use of deprecated APIs
Easily check your clusters for use of deprecated APIs - doitintl/kube-no-trouble
Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения
https://habr.com/ru/companies/selectel/articles/814183/
https://habr.com/ru/companies/selectel/articles/814183/
Хабр
Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения
Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних...
Самое слабое звено в цепи кибербезопасности: электронная почта
https://billatnapier.medium.com/the-weakness-link-in-the-cybersecurity-chain-email-09851b33e426
https://billatnapier.medium.com/the-weakness-link-in-the-cybersecurity-chain-email-09851b33e426
Medium
The Weakest Link in the Cybersecurity Chain: Email
How do you actually know it was me who wrote this article? Well, I will prove it. I will take the first paragraph of the introduction, and…
Руководство по защите удаленного доступа с помощью ключей SSH
Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf
Пошаговое руководство по защите ваших SSH-соединений с помощью аутентификации на основе ключей SSH https://infosecwriteups.com/a-guide-to-securing-your-remote-access-using-ssh-keys-84b48097f3bf
Medium
A Guide To Securing Your Remote Access Using SSH Keys
A Step-by-Step Guide To Securing Your SSH Connections Using SSH Key-Based Authentication
3 самые простые ошибки, которые вы можете найти прямо сейчас [гарантировано]
https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7
https://systemweakness.com/3-easiest-bugs-that-you-can-find-right-now-guarantied-71ef89efd1a7
Medium
3 easiest bugs that you can find right now [guarantied]
Finding bugs can be actually very easy and I present you some of the easiest bugs that are ridiculously easy to find and pretty much are in some cases a money glitch…