Как защитить ваше приложение Django — лучшие практики и примеры кода
В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.
https://www.freecodecamp.org/news/how-to-secure-your-django-app
В этом руководстве мы обсудим некоторые лучшие меры безопасности для безопасного проекта Django перед следующим развертыванием.
https://www.freecodecamp.org/news/how-to-secure-your-django-app
Тонкая настройка Semgrep для Ruby Security: Pundit и SQL-инъекция
https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html
https://blog.siddarthadukia.com/2024/03/30/securing-rails-pundit.html
sorted unsorted thoughts
Fine-tuning Semgrep for Ruby Security: Pundit and SQL injection
In this blog post, we’ll go over the construction and tuning of a few Semgrep rules I created while looking at a Ruby on Rails application. Semgrep is a powerful code analysis tool, and while there are a fair number of community rules, the default rules don’t…
Сборник ресурсов по проектированию, внедрению и эксплуатации средств обнаружения с целью упреждающего выявления вредоносной или несанкционированной деятельности.
https://github.com/infosecB/awesome-detection-engineering
https://github.com/infosecB/awesome-detection-engineering
GitHub
GitHub - infosecB/awesome-detection-engineering: Detection Engineering is a tactical function of a cybersecurity defense program…
Detection Engineering is a tactical function of a cybersecurity defense program that involves the design, implementation, and operation of detective controls with the goal of proactively identifyin...
Утечка учетных данных при захвате поддомена (6 минут чтения)
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.
https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover
Команда Truffle Security подробно рассказывает о том, как можно злоупотребить localStorage при захвате поддомена. Они обнаружили уязвимость захвата субдомена на Readme.io, которая может позволить злоумышленнику скомпрометировать любые учетные данные, введенные на исходной или скомпрометированной странице.
https://trufflesecurity.com/blog/credentials-leaking-with-subdomain-takeover
Trufflesecurity
Credentials Leaking with Subdomain Takeover ◆ Truffle Security Co.
We’re disclosing new techniques to steal sensitive data in localStorage (like API keys and passwords) via subdomain takeover.
Prowler — это инструмент безопасности с открытым исходным кодом для AWS, Azure, GCP и Kubernetes, предназначенный для проведения оценок безопасности, аудита, реагирования на инциденты, соблюдения требований, непрерывного мониторинга, усиления защиты и готовности к криминалистической экспертизе. В него входят CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS и другие. https://github.com/prowler-cloud/prowler
Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.
https://github.com/TupleType/awesome-cicd-attacks
Тщательно подобранный список методов и инструментов для атаки и защиты конвейеров CI/CD.
https://github.com/TupleType/awesome-cicd-attacks
GitHub
GitHub - prowler-cloud/prowler: Prowler is the Open Cloud Security platform for AWS, Azure, GCP, Kubernetes, M365 and more. It…
Prowler is the Open Cloud Security platform for AWS, Azure, GCP, Kubernetes, M365 and more. It helps for continuous monitoring, security assessments & audits, incident response, compliance,...
Этот очень простой инструмент извлекает и отображает данные из функции восстановления в Windows 11, обеспечивая простой способ доступа к информации о снимках активности вашего ПК.
https://github.com/xaitax/TotalRecall
https://github.com/xaitax/TotalRecall
GitHub
GitHub - xaitax/TotalRecall: This tool extracts and displays data from the Recall feature in Windows 11, providing an easy way…
This tool extracts and displays data from the Recall feature in Windows 11, providing an easy way to access information about your PC's activity snapshots. - xaitax/TotalRecall
Перейди по ссылке, и я узнаю твой номер
В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. https://habr.com/ru/articles/819595/
В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных. https://habr.com/ru/articles/819595/
Хабр
Перейди по ссылке, и я узнаю твой номер
Нейрокартинка с шестипалым курсором для привлечения внимания В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных...
Как защитить SaaS-приложения будущего (6 минут чтения)
В этом посте рассказывается о проблемах идентификации, с которыми сталкиваются современные SaaS-приложения, и о более сложных способах, с помощью которых злоумышленники ищут доступ. В нем изложены требования единого входа, подготовки пользователей (через SCIM) и программного доступа к журналам в качестве требований для современных приложений SaaS. Он также предлагает подтверждение владения, профили оценки непрерывного доступа и универсальный выход из системы для SaaS-приложений будущего.
https://sec.okta.com/appsofthefuture
В этом посте рассказывается о проблемах идентификации, с которыми сталкиваются современные SaaS-приложения, и о более сложных способах, с помощью которых злоумышленники ищут доступ. В нем изложены требования единого входа, подготовки пользователей (через SCIM) и программного доступа к журналам в качестве требований для современных приложений SaaS. Он также предлагает подтверждение владения, профили оценки непрерывного доступа и универсальный выход из системы для SaaS-приложений будущего.
https://sec.okta.com/appsofthefuture
Okta Security
How to Secure the SaaS Apps of the Future
Over the past few years we’ve observed a fundamental shift in the threat model for highly targeted organizations.Today, if an attacker can’t manage to
Betterscan — это набор инструментов оркестрации, который использует самые современные инструменты для сканирования исходного кода и инфраструктуры IaC, а также анализа рисков безопасности и соответствия требованиям.
https://github.com/topcodersonline-solutions/betterscan-ce
https://github.com/topcodersonline-solutions/betterscan-ce
GitHub
GitHub - tcosolutions/betterscan: Code Scanning/SAST/Static Analysis/Linting using many tools/Scanners with One Report (Code, IaC)…
Code Scanning/SAST/Static Analysis/Linting using many tools/Scanners with One Report (Code, IaC) - Betterscan - tcosolutions/betterscan
OpenRecall (репозиторий GitHub)
OpenRecall — это альтернатива функции Microsoft Recall с полностью открытым исходным кодом, ориентированная на конфиденциальность.
https://github.com/openrecall/openrecall
OpenRecall — это альтернатива функции Microsoft Recall с полностью открытым исходным кодом, ориентированная на конфиденциальность.
https://github.com/openrecall/openrecall
GitHub
GitHub - openrecall/openrecall: OpenRecall is a fully open-source, privacy-first alternative to proprietary solutions like Microsoft's…
OpenRecall is a fully open-source, privacy-first alternative to proprietary solutions like Microsoft's Windows Recall. With OpenRecall, you can easily access your digital history, enhancing...
hijagger — проверка реестров пакетов на наличие пакетов, которые можно перехватить.
https://github.com/firefart/hijagger
https://github.com/firefart/hijagger
GitHub
GitHub - firefart/hijagger: Checks all maintainers of all NPM and Pypi packages for hijackable packages through domain re-registration
Checks all maintainers of all NPM and Pypi packages for hijackable packages through domain re-registration - firefart/hijagger
Предполагаемое нарушение: эволюция наступательного тестирования безопасности (чтение 8 минут)
TrustedSec подробно описывает свой новый подход к «красной команде» и пентестированию, который фокусируется на нарушениях на основе сценариев, в отличие от традиционных внутренних тестов на проникновение, которые сосредоточены в основном на сценариях физического вторжения, в результате которых злоумышленники внедряют в сеть мошенническое устройство. TrustedSec тестирует семь сценариев. Пост включает подробное описание сценариев и методов тестирования.
https://trustedsec.com/blog/assumed-breach-the-evolution-of-offensive-security-testing
TrustedSec подробно описывает свой новый подход к «красной команде» и пентестированию, который фокусируется на нарушениях на основе сценариев, в отличие от традиционных внутренних тестов на проникновение, которые сосредоточены в основном на сценариях физического вторжения, в результате которых злоумышленники внедряют в сеть мошенническое устройство. TrustedSec тестирует семь сценариев. Пост включает подробное описание сценариев и методов тестирования.
https://trustedsec.com/blog/assumed-breach-the-evolution-of-offensive-security-testing
TrustedSec
Assumed Breach: The Evolution of Offensive Security Testing
Assumed Breach assessments simulate a compromised internal network, helping organizations strengthen security posture by identifying vulnerabilities and…
Я боролся с DDoS и выжил, чтобы рассказать об этом
https://funkbytetech.substack.com/p/i-fought-a-ddos-and-lived-to-tell
https://funkbytetech.substack.com/p/i-fought-a-ddos-and-lived-to-tell
Substack
I fought a DDoS and lived to tell the tale
Episode 1 - A Developer's Saga
RedFlag (репозиторий GitHub)
RedFlag — это инструмент, который использует искусственный интеллект для обнаружения изменений кода с высоким уровнем риска. Сканирование имеет широкие возможности настройки и может использоваться для сканирования конкретных изменений или выпусков. https://github.com/Addepar/RedFlag
Agentic Security (репозиторий GitHub)
Agentic Security — это сканер уязвимостей с открытым исходным кодом для проверки устойчивости и надежности LLM. https://github.com/msoedov/agentic_security
RedFlag — это инструмент, который использует искусственный интеллект для обнаружения изменений кода с высоким уровнем риска. Сканирование имеет широкие возможности настройки и может использоваться для сканирования конкретных изменений или выпусков. https://github.com/Addepar/RedFlag
Agentic Security (репозиторий GitHub)
Agentic Security — это сканер уязвимостей с открытым исходным кодом для проверки устойчивости и надежности LLM. https://github.com/msoedov/agentic_security
GitHub
GitHub - Addepar/RedFlag: RedFlag uses AI to identify high-risk code changes. Run it in batch mode for release candidate testing…
RedFlag uses AI to identify high-risk code changes. Run it in batch mode for release candidate testing or in CI pipelines to flag PRs and add reviewers. RedFlag's flexible configuration mak...
Как создать конвейер для усиления защиты узлов Amazon EKS и автоматизации обновлений (5-минутное чтение)
https://aws.amazon.com/blogs/security/how-to-create-a-pipeline-for-hardening-amazon-eks-nodes-and-automate-updates
https://aws.amazon.com/blogs/security/how-to-create-a-pipeline-for-hardening-amazon-eks-nodes-and-automate-updates
Amazon
How to create a pipeline for hardening Amazon EKS nodes and automate updates | Amazon Web Services
July 16, 2024: We updated the code in this post and some of the CloudFormation parameters. Amazon Elastic Kubernetes Service (Amazon EKS) offers a powerful, Kubernetes-certified service to build, secure, operate, and maintain Kubernetes clusters on Amazon…
От dotenv к dotenvx: управление конфигурациями нового поколения
Dotenvx, эволюция популярного инструмента конфигурации dotenv, решает основные проблемы безопасности и удобства использования. Он обеспечивает кроссплатформенную согласованность, поддерживает несколько сред и вводит шифрование для файлов .env.
https://dotenvx.com/blog/2024/06/24/dotenvx-next-generation-config-management.html
Dotenvx, эволюция популярного инструмента конфигурации dotenv, решает основные проблемы безопасности и удобства использования. Он обеспечивает кроссплатформенную согласованность, поддерживает несколько сред и вводит шифрование для файлов .env.
https://dotenvx.com/blog/2024/06/24/dotenvx-next-generation-config-management.html
dotenvx
From dotenv to dotenvx: Next Generation Config Management
A leap forward in configuration management for dotenv
Mutahunter (репозиторий GitHub)
Mutahunter — это инструмент тестирования мутаций на основе LLM с открытым исходным кодом, который использует модели LLM для внедрения контекстно-зависимых ошибок в кодовые базы.
https://github.com/codeintegrity-ai/mutahunter
Mutahunter — это инструмент тестирования мутаций на основе LLM с открытым исходным кодом, который использует модели LLM для внедрения контекстно-зависимых ошибок в кодовые базы.
https://github.com/codeintegrity-ai/mutahunter
GitHub
GitHub - codeintegrity-ai/mutahunter: Open Source, Language Agnostic Mutation Testing
Open Source, Language Agnostic Mutation Testing. Contribute to codeintegrity-ai/mutahunter development by creating an account on GitHub.
Анонс открытого бета-тестирования Ronin 2.1.0 (6 минут чтения)
Ronin — это бесплатный набор инструментов Ruby с открытым исходным кодом для исследований и разработок в области безопасности. Фаза открытого бета-тестирования Ronin 2.1.0 продлится до 19 июля, а официальный релиз запланирован на 22 июля.
https://ronin-rb.dev/blog/2024/06/24/announcing-the-ronin-2-1-0-open-beta.html
Ronin — это бесплатный набор инструментов Ruby с открытым исходным кодом для исследований и разработок в области безопасности. Фаза открытого бета-тестирования Ronin 2.1.0 продлится до 19 июля, а официальный релиз запланирован на 22 июля.
https://ronin-rb.dev/blog/2024/06/24/announcing-the-ronin-2-1-0-open-beta.html
GCPwn (репозиторий GitHub)
GCPwn — это универсальный набор инструментов GCP для Red Team, созданный по образцу pacu для AWS.
https://github.com/NetSPI/gcpwn
GCPwn — это универсальный набор инструментов GCP для Red Team, созданный по образцу pacu для AWS.
https://github.com/NetSPI/gcpwn
GitHub
GitHub - NetSPI/gcpwn: Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product…
Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product of numerous hours via @WebbinRoot - NetSPI/gcpwn