Whispers — это инструмент анализа информационной безопасности, разработанный для идентификации жестко закодированных секретов в структурированном тексте и статическом коде ( CWE-798 ).

https://github.com/adeptex/whispers

Зашифрованы или не зашифрованы мои ресурсы AWS по умолчанию? (чтение занимает 5 минут)
Fog Security исследовал 51 различный ресурс AWS и обнаружил, что только 76% из них были зашифрованы по умолчанию, причем 22 из них были зашифрованы с помощью ключей AWS Owned по умолчанию. Даже при шифровании по умолчанию сервисы, которые использовали ключи AWS Owned, были общими для учетных записей AWS и обычно не предлагали дополнительных средств управления доступом.
https://www.fogsecurity.io/blog/are-my-aws-resources-encrypted-or-unencrypted-by-default

Улучшение авторизации: использование возможностей частичной оценки

В сегодняшнем ландшафте безопасности контроль за тем, кто имеет доступ к информации, важен как никогда. По мере того, как системы становятся все более сложными, традиционные методы, такие как управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), имеют свои ограничения, особенно в динамических средах. В этой статье рассматриваются эти методы и представлено гибкое и эффективное решение для управления авторизацией. https://medium.com/cyberark-engineering/enhancing-authorization-harnessing-the-power-of-partial-evaluation-e8f1bd263fac

Предотвращение атак Clickjacking в JavaScript

https://dev.to/rigalpatel001/preventing-clickjacking-attacks-in-javascript-39pj

FlowAnalyzer (репозиторий GitHub) - это инструмент, помогающий тестировать и анализировать потоки OAuth 2.0, включая OpenID Connect (OIDC).

https://github.com/ManuelBerrueta/FlowAnalyzer

GPT4-Captcha-bypass (репозиторий GitHub)
Этот проект представляет собой инструмент CLI для тестирования различных типов капч, включая головоломки, текст, сложный текст и reCAPTCHA с использованием Python и Selenium. Инструмент использует OpenAI GPT-4 для помощи в решении капч.

https://github.com/aydinnyunus/gpt4-captcha-bypass

Лучшие практики обеспечения безопасности для вашего приложения Node.js

https://dev.to/appsignal/security-best-practices-for-your-nodejs-application-37ip

Arcjet-js (репозиторий GitHub)
JS SDK от Arcjet включают ограничение скорости, защиту от ботов, проверку электронной почты и защиту от атак для Node.js, Next.js, Bun и SvelteKit.

https://github.com/arcjet/arcjet-js

Dioptra — это программная тестовая платформа для оценки надежных характеристик искусственного интеллекта (ИИ).

https://github.com/usnistgov/dioptra

Инструмент разведки, позволяющий осуществлять поиск по URL-адресам, которые отображаются через сервисы сокращения ссылок

https://github.com/utkusen/urlhunter

«Сдвиг влево» был популярен, но в значительной степени не оправдал своих обещаний. Для слишком многих команд это был способ взять те же старые инструменты безопасности и направить поток проблем на разработчиков. Что сделали успешные команды, чтобы сократить свой огромный бэклог уязвимостей? Они развернули безопасные ограждения.

https://semgrep.dev/blog/2024/appsec-guides-not-gates-introducing-secure-guardrails-with-semgrep

Как в основном работает DDoS

Power-pwn (репозиторий GitHub)
Набор инструментов для наступательной безопасности для Microsoft 365, ориентированный на Microsoft Copilot, Copilot Studio и Power Platform https://github.com/mbrg/power-pwn

DIANA: Экономьте силы при проведении операций по обеспечению безопасности с помощью: обнаружения и анализа разведданных для новых оповещений (DIANA)

https://github.com/dwillowtree/diana

7 инструментов безопасности с открытым исходным кодом, слишком хороших, чтобы их игнорировать

https://flyingmum.medium.com/7-open-source-security-tools-too-good-to-ignore-f818b22eba8d

Traceeshark: плагин с открытым исходным кодом для Wireshark

Traceeshark — это плагин для Wireshark, позволяющий специалистам по безопасности быстро расследовать инциденты безопасности. Он расширяет возможности Aqua Tracee , инструмента безопасности и криминалистики с открытым исходным кодом, и позволяет пользователям анализировать события на уровне ядра вместе с сетевым трафиком.

https://www.helpnetsecurity.com/2024/08/08/traceeshark-open-source-plugin-wireshark/

Простой контроль доступа на основе ролей в JavaScript

В этом руководстве у нас есть приложение To-Do List, созданное с использованием HTML, CSS и JS, и мы интегрируем его с Cerbos, чтобы добавить авторизацию в приложение. Авторизация определяет, может ли пользователь выполнять определенные действия или получать доступ к определенным ресурсам или данным. Она позволяет организациям контролировать и защищать доступ к конфиденциальным базам данных, частным и персональным данным и корпоративным ресурсам. В нашем приложении JS авторизация будет определять, какие действия могут выполнять пользователи (создавать задачи и читать задачи) и какие действия может выполнять администратор (создавать, читать и удалять задачи). https://www.cerbos.dev/blog/role-based-access-control-in-javascript

Проект Apeman (репозиторий GitHub)
Project Apeman — это инструмент для генерации и визуализации путей атак AWS. https://github.com/hotnops/apeman


Fail2ban (репозиторий GitHub)
Демон для блокировки хостов, вызывающих множественные ошибки аутентификации. https://github.com/fail2ban/fail2ban

10 расширений браузера для хакеров и OSINT!

https://www.youtube.com/watch?v=UZNHRYeJafE

📚Создание наборов данных журналов аудита облака для распространенных атак. В настоящее время он поддерживает AWS.

https://github.com/dataDog/grimoire

🔍Инструмент фаззинга GraphQL API с учетом зависимостей

https://github.com/omar2535/GraphQLer

Ваше лицо кажется знакомым: разведка, анализ и методы атак на ML в системах распознавания лиц

https://habr.com/ru/companies/pt/articles/837536/

Основы настройки сервера


https://becomesovran.com/blog/server-setup-basics.html

Launcher для GoodbyeDPI – понятный способ обойти все блокировки и восстановить YouTube в России

https://habr.com/ru/articles/838288/