Gapcast (репозиторий GitHub)
Gapcast — это программное обеспечение для внедрения и анализа пакетов IEEE 802.11.
https://github.com/ANDRVV/gapcast
Gapcast — это программное обеспечение для внедрения и анализа пакетов IEEE 802.11.
https://github.com/ANDRVV/gapcast
GitHub
GitHub - ANDRVV/gapcast: 📡 802.11 broadcast analyzer & injector
📡 802.11 broadcast analyzer & injector. Contribute to ANDRVV/gapcast development by creating an account on GitHub.
GitLab снова заставляет пользователей нервничать из-за новой уязвимости конвейера CI/CD (чтение занимает 3 минуты)
GitLab раскрыл критическую уязвимость (CVE-2024-6385), которая влияет на конвейеры CI/CD платформы DevOps. Уязвимость, оцененная по уровню серьезности в 9,6 из 10, позволяет злоумышленникам запускать конвейеры от имени любого пользователя, потенциально получая доступ к конфиденциальным данным и внедряя вредоносный код. GitLab настоятельно рекомендует пользователям немедленно обновиться до последней исправленной версии.
https://www.darkreading.com/application-security/-gitlab-sends-users-scrambling-again-with-new-ci-cd-pipeline-takeover-vuln
GitLab раскрыл критическую уязвимость (CVE-2024-6385), которая влияет на конвейеры CI/CD платформы DevOps. Уязвимость, оцененная по уровню серьезности в 9,6 из 10, позволяет злоумышленникам запускать конвейеры от имени любого пользователя, потенциально получая доступ к конфиденциальным данным и внедряя вредоносный код. GitLab настоятельно рекомендует пользователям немедленно обновиться до последней исправленной версии.
https://www.darkreading.com/application-security/-gitlab-sends-users-scrambling-again-with-new-ci-cd-pipeline-takeover-vuln
Darkreading
GitLab Sends Users Scrambling Again With New CI/CD Pipeline Takeover Vuln
The bug is similar — but not identical — to a critical flaw GitLab patched just two weeks ago.
Whispers — это инструмент анализа информационной безопасности, разработанный для идентификации жестко закодированных секретов в структурированном тексте и статическом коде ( CWE-798 ).
https://github.com/adeptex/whispers
Зашифрованы или не зашифрованы мои ресурсы AWS по умолчанию? (чтение занимает 5 минут)
Fog Security исследовал 51 различный ресурс AWS и обнаружил, что только 76% из них были зашифрованы по умолчанию, причем 22 из них были зашифрованы с помощью ключей AWS Owned по умолчанию. Даже при шифровании по умолчанию сервисы, которые использовали ключи AWS Owned, были общими для учетных записей AWS и обычно не предлагали дополнительных средств управления доступом.
https://www.fogsecurity.io/blog/are-my-aws-resources-encrypted-or-unencrypted-by-default
https://github.com/adeptex/whispers
Зашифрованы или не зашифрованы мои ресурсы AWS по умолчанию? (чтение занимает 5 минут)
Fog Security исследовал 51 различный ресурс AWS и обнаружил, что только 76% из них были зашифрованы по умолчанию, причем 22 из них были зашифрованы с помощью ключей AWS Owned по умолчанию. Даже при шифровании по умолчанию сервисы, которые использовали ключи AWS Owned, были общими для учетных записей AWS и обычно не предлагали дополнительных средств управления доступом.
https://www.fogsecurity.io/blog/are-my-aws-resources-encrypted-or-unencrypted-by-default
GitHub
GitHub - adeptex/whispers: Identify hardcoded secrets in static structured text (version 2)
Identify hardcoded secrets in static structured text (version 2) - adeptex/whispers
Улучшение авторизации: использование возможностей частичной оценки
В сегодняшнем ландшафте безопасности контроль за тем, кто имеет доступ к информации, важен как никогда. По мере того, как системы становятся все более сложными, традиционные методы, такие как управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), имеют свои ограничения, особенно в динамических средах. В этой статье рассматриваются эти методы и представлено гибкое и эффективное решение для управления авторизацией. https://medium.com/cyberark-engineering/enhancing-authorization-harnessing-the-power-of-partial-evaluation-e8f1bd263fac
В сегодняшнем ландшафте безопасности контроль за тем, кто имеет доступ к информации, важен как никогда. По мере того, как системы становятся все более сложными, традиционные методы, такие как управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), имеют свои ограничения, особенно в динамических средах. В этой статье рассматриваются эти методы и представлено гибкое и эффективное решение для управления авторизацией. https://medium.com/cyberark-engineering/enhancing-authorization-harnessing-the-power-of-partial-evaluation-e8f1bd263fac
Medium
Enhancing Authorization: Harnessing the Power of Partial Evaluation
Information about traditional authorization and a partial evaluation: flexible and efficient authorization management solution.
Предотвращение атак Clickjacking в JavaScript
https://dev.to/rigalpatel001/preventing-clickjacking-attacks-in-javascript-39pj
https://dev.to/rigalpatel001/preventing-clickjacking-attacks-in-javascript-39pj
DEV Community
Preventing Clickjacking Attacks in JavaScript
Learn how to protect your web applications from clickjacking attacks using JavaScript with easy-to-follow examples.
В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что это, с чем его едят, нюансы при настраивании и с радостью поделюсь своим опытом по внедрению и работе с данной системой.
https://habr.com/ru/companies/innostage/articles/831414/
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
«Поймай меня, если сможешь», или как мы расставляем ловушки для хакеров
Всем привет! Меня зовут Юлия Айдарова, я старший аналитик информационной безопасности группы внутреннего мониторинга Innostage. В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что...
FlowAnalyzer (репозиторий GitHub) - это инструмент, помогающий тестировать и анализировать потоки OAuth 2.0, включая OpenID Connect (OIDC).
https://github.com/ManuelBerrueta/FlowAnalyzer
GPT4-Captcha-bypass (репозиторий GitHub)
Этот проект представляет собой инструмент CLI для тестирования различных типов капч, включая головоломки, текст, сложный текст и reCAPTCHA с использованием Python и Selenium. Инструмент использует OpenAI GPT-4 для помощи в решении капч.
https://github.com/aydinnyunus/gpt4-captcha-bypass
https://github.com/ManuelBerrueta/FlowAnalyzer
GPT4-Captcha-bypass (репозиторий GitHub)
Этот проект представляет собой инструмент CLI для тестирования различных типов капч, включая головоломки, текст, сложный текст и reCAPTCHA с использованием Python и Selenium. Инструмент использует OpenAI GPT-4 для помощи в решении капч.
https://github.com/aydinnyunus/gpt4-captcha-bypass
GitHub
GitHub - ManuelBerrueta/FlowAnalyzer: FlowAnalyzer is a tool to help in testing and analyzing OAuth 2.0 Flows, including OpenID…
FlowAnalyzer is a tool to help in testing and analyzing OAuth 2.0 Flows, including OpenID Connect (OIDC). - ManuelBerrueta/FlowAnalyzer
Лучшие практики обеспечения безопасности для вашего приложения Node.js
https://dev.to/appsignal/security-best-practices-for-your-nodejs-application-37ip
https://dev.to/appsignal/security-best-practices-for-your-nodejs-application-37ip
DEV Community
Security Best Practices for Your Node.js Application
The widespread adoption of Node.js continues to grow, making it a prime target for XSS, DoS, and...
Arcjet-js (репозиторий GitHub)
JS SDK от Arcjet включают ограничение скорости, защиту от ботов, проверку электронной почты и защиту от атак для Node.js, Next.js, Bun и SvelteKit.
https://github.com/arcjet/arcjet-js
JS SDK от Arcjet включают ограничение скорости, защиту от ботов, проверку электронной почты и защиту от атак для Node.js, Next.js, Bun и SvelteKit.
https://github.com/arcjet/arcjet-js
GitHub
GitHub - arcjet/arcjet-js: Arcjet JS SDKs. Bot detection, rate limiting, email validation, attack protection, data redaction for…
Arcjet JS SDKs. Bot detection, rate limiting, email validation, attack protection, data redaction for Node.js, Next.js, Deno, Bun, Remix, SvelteKit, NestJS. - arcjet/arcjet-js
Dioptra — это программная тестовая платформа для оценки надежных характеристик искусственного интеллекта (ИИ).
https://github.com/usnistgov/dioptra
Инструмент разведки, позволяющий осуществлять поиск по URL-адресам, которые отображаются через сервисы сокращения ссылок
https://github.com/utkusen/urlhunter
https://github.com/usnistgov/dioptra
Инструмент разведки, позволяющий осуществлять поиск по URL-адресам, которые отображаются через сервисы сокращения ссылок
https://github.com/utkusen/urlhunter
GitHub
GitHub - usnistgov/dioptra: Test Software for the Characterization of AI Technologies
Test Software for the Characterization of AI Technologies - GitHub - usnistgov/dioptra: Test Software for the Characterization of AI Technologies
«Сдвиг влево» был популярен, но в значительной степени не оправдал своих обещаний. Для слишком многих команд это был способ взять те же старые инструменты безопасности и направить поток проблем на разработчиков. Что сделали успешные команды, чтобы сократить свой огромный бэклог уязвимостей? Они развернули безопасные ограждения.
https://semgrep.dev/blog/2024/appsec-guides-not-gates-introducing-secure-guardrails-with-semgrep
https://semgrep.dev/blog/2024/appsec-guides-not-gates-introducing-secure-guardrails-with-semgrep
Semgrep
AppSec guides, not gates: Introducing secure guardrails with Semgrep
"Shift left" was popular, but has largely failed to deliver on its promises. For too many teams, it was a way to take the same old security tools and point the firehose of issues at developers. What have successful teams done to reduce their massive vulnerabilities…
This media is not supported in your browser
VIEW IN TELEGRAM
Как в основном работает DDoS
Power-pwn (репозиторий GitHub)
Набор инструментов для наступательной безопасности для Microsoft 365, ориентированный на Microsoft Copilot, Copilot Studio и Power Platform https://github.com/mbrg/power-pwn
DIANA: Экономьте силы при проведении операций по обеспечению безопасности с помощью: обнаружения и анализа разведданных для новых оповещений (DIANA)
https://github.com/dwillowtree/diana
Набор инструментов для наступательной безопасности для Microsoft 365, ориентированный на Microsoft Copilot, Copilot Studio и Power Platform https://github.com/mbrg/power-pwn
DIANA: Экономьте силы при проведении операций по обеспечению безопасности с помощью: обнаружения и анализа разведданных для новых оповещений (DIANA)
https://github.com/dwillowtree/diana
GitHub
GitHub - mbrg/power-pwn: An offensive security toolset for Microsoft 365 focused on Microsoft Copilot, Copilot Studio and Power…
An offensive security toolset for Microsoft 365 focused on Microsoft Copilot, Copilot Studio and Power Platform - mbrg/power-pwn
7 инструментов безопасности с открытым исходным кодом, слишком хороших, чтобы их игнорировать
https://flyingmum.medium.com/7-open-source-security-tools-too-good-to-ignore-f818b22eba8d
https://flyingmum.medium.com/7-open-source-security-tools-too-good-to-ignore-f818b22eba8d
Medium
7 open source security tools too good to ignore
These must-have open-source tools help CISOs and their teams scan for vulnerabilities, analyze protocols, run forensics, and support threat…
Traceeshark: плагин с открытым исходным кодом для Wireshark
Traceeshark — это плагин для Wireshark, позволяющий специалистам по безопасности быстро расследовать инциденты безопасности. Он расширяет возможности Aqua Tracee , инструмента безопасности и криминалистики с открытым исходным кодом, и позволяет пользователям анализировать события на уровне ядра вместе с сетевым трафиком.
https://www.helpnetsecurity.com/2024/08/08/traceeshark-open-source-plugin-wireshark/
Traceeshark — это плагин для Wireshark, позволяющий специалистам по безопасности быстро расследовать инциденты безопасности. Он расширяет возможности Aqua Tracee , инструмента безопасности и криминалистики с открытым исходным кодом, и позволяет пользователям анализировать события на уровне ядра вместе с сетевым трафиком.
https://www.helpnetsecurity.com/2024/08/08/traceeshark-open-source-plugin-wireshark/
Help Net Security
Traceeshark: Open-source plugin for Wireshark
Traceeshark is a plugin for Wireshark that enables security practitioners to quickly investigate security incidents.
Простой контроль доступа на основе ролей в JavaScript
В этом руководстве у нас есть приложение To-Do List, созданное с использованием HTML, CSS и JS, и мы интегрируем его с Cerbos, чтобы добавить авторизацию в приложение. Авторизация определяет, может ли пользователь выполнять определенные действия или получать доступ к определенным ресурсам или данным. Она позволяет организациям контролировать и защищать доступ к конфиденциальным базам данных, частным и персональным данным и корпоративным ресурсам. В нашем приложении JS авторизация будет определять, какие действия могут выполнять пользователи (создавать задачи и читать задачи) и какие действия может выполнять администратор (создавать, читать и удалять задачи). https://www.cerbos.dev/blog/role-based-access-control-in-javascript
В этом руководстве у нас есть приложение To-Do List, созданное с использованием HTML, CSS и JS, и мы интегрируем его с Cerbos, чтобы добавить авторизацию в приложение. Авторизация определяет, может ли пользователь выполнять определенные действия или получать доступ к определенным ресурсам или данным. Она позволяет организациям контролировать и защищать доступ к конфиденциальным базам данных, частным и персональным данным и корпоративным ресурсам. В нашем приложении JS авторизация будет определять, какие действия могут выполнять пользователи (создавать задачи и читать задачи) и какие действия может выполнять администратор (создавать, читать и удалять задачи). https://www.cerbos.dev/blog/role-based-access-control-in-javascript
Cerbos
Simple Role-Based Access Control in JavaScript | Cerbos
Learn how to integrate Cerbos into a JavaScript To-Do List application for robust role-based access control (RBAC). This guide covers setting up Cerbos, defining roles and permissions, and best practices for secure and scalable authorization management. Perfect…
Проект Apeman (репозиторий GitHub)
Project Apeman — это инструмент для генерации и визуализации путей атак AWS. https://github.com/hotnops/apeman
Fail2ban (репозиторий GitHub)
Демон для блокировки хостов, вызывающих множественные ошибки аутентификации. https://github.com/fail2ban/fail2ban
Project Apeman — это инструмент для генерации и визуализации путей атак AWS. https://github.com/hotnops/apeman
Fail2ban (репозиторий GitHub)
Демон для блокировки хостов, вызывающих множественные ошибки аутентификации. https://github.com/fail2ban/fail2ban
GitHub
GitHub - hotnops/apeman: AWS Attack Path Management Tool - Walking on the Moon
AWS Attack Path Management Tool - Walking on the Moon - hotnops/apeman
📚Создание наборов данных журналов аудита облака для распространенных атак. В настоящее время он поддерживает AWS.
https://github.com/dataDog/grimoire
🔍Инструмент фаззинга GraphQL API с учетом зависимостей
https://github.com/omar2535/GraphQLer
https://github.com/dataDog/grimoire
🔍Инструмент фаззинга GraphQL API с учетом зависимостей
https://github.com/omar2535/GraphQLer
GitHub
GitHub - DataDog/grimoire: Generate datasets of cloud audit logs for common attacks
Generate datasets of cloud audit logs for common attacks - DataDog/grimoire