Промежуточное ПО безопасности Laravel

В этом руководстве я расскажу, как вы можете использовать возможности промежуточного программного обеспечения в своем приложении Laravel, чтобы повысить безопасность своих приложений. https://laravel-news.com/laravel-security-middleware

Как запустить и остановить режим монитора в Linux

Несложно запускать и останавливать режим монитора в Linux, когда вы знаете, какую команду использовать.

Модуль Wi-Fi поставляется с несколькими режимами, и один из них — режим мониторинга, о котором вы часто слышали от энтузиастов безопасности для прослушивания сети с помощью Wireshark.

Мало того, вы можете делать гораздо больше, когда активируете режим мониторинга в Linux, например, анализировать сетевой трафик, обнаруживать мошеннические точки доступа, устранять проблемы с подключением и многое другое.
Итак, давайте начнем статью с объяснения вам, что такое режим монитора, тип оборудования, поддерживающего режим монитора, и, наконец, команды для запуска и остановки беспорядочного режима.

https://trendoceans.com/start-and-stop-monitor-mode-in-linux/

Восстанавливает пароли с пиксельных скриншотов

Depix — это инструмент для восстановления паролей с пикселизированных скриншотов.

Эта реализация работает с пикселизированными изображениями, созданными с помощью линейного прямоугольного фильтра. https://github.com/beurtschipper/Depix

🔥 Тест на знание информационной безопасности

— Ответьте на 25 вопросов и проверьте, насколько вы готовы к углебленному изучению ИБ и DevSecOps. Сможете сдать — пройдёте на продвинутый онлайн-курс «Внедрение и работа в DevSecOps» со скидкой!

👉🏻 ПРОЙТИ ТЕСТ: https://otus.pw/eHZB/

🎁 Пройдете успешно тест, получите доступ к записям утрыктых уроков курса.

Нативная интеграция. Информация о продукте www.otus.ru

Обход 403-х как ПРО!

Уязвимость Broken Access Control — это тип уязвимости безопасности, которая позволяет несанкционированному пользователю получить доступ к ограниченным ресурсам. Используя эту уязвимость, злоумышленники могут обойти стандартные процедуры безопасности и получить несанкционированный доступ к конфиденциальной информации или системам.

Вы могли заметить, что для чувствительных конечных точек, таких как .htaccess, config.php и т. д., сервер обычно возвращает запрещенный ответ 403. Но что это значит? https://shrirangdiwakar.medium.com/bypassing-403s-like-a-pro-2-100-broken-access-control-66beef4afa8c

Как проверить, используется ли порт в Linux или Unix

Важно проверить, какие порты прослушивают сетевые интерфейсы сервера. Вам нужно обратить внимание на открытые порты, чтобы обнаружить вторжение. Помимо вторжения, для устранения неполадок может потребоваться проверить, не используется ли уже порт другим приложением на ваших серверах. Например, вы можете установить сервер Apache и Nginx в одной системе. Поэтому необходимо знать, использует ли Apache или Nginx TCP-порт # 80/443. В этом кратком руководстве приведены шаги по использованию команд netstat, nmap и lsof для проверки используемых портов и просмотра приложения, использующего порт. https://www.cyberciti.biz/faq/unix-linux-check-if-port-is-in-use-command/

Этот репозиторий будет содержать множество карт памяти для технологий кибербезопасности, методологий, курсов и сертификатов в древовидной структуре, чтобы дать краткие сведения о них.

https://github.com/Ignitetechnologies/Mindmap

Тест: можете ли вы защититься от XSS-уязвимости?

Во всех заданиях вы будете решать один и тот же вопрос: как правильно отобразить переменную $strна HTML-странице, не создавая при этом XSS-уязвимости . Основой защиты является экранирование , то есть замена символов со специальным значением соответствующими последовательностями. Например, при выводе в HTML-текст строки, в которой символ <имеет особое значение (указывающее на начало тега), мы заменяем его на HTML-сущность &lt;, и браузер корректно отображает символ <.

Будьте бдительны, так как уязвимость XSS очень серьезна. Это может привести к тому, что злоумышленник получит контроль над страницей или даже учетной записью пользователя. Удачи, и пусть вам удастся сохранить HTML-страницу в безопасности! https://blog.nette.org/en/quiz-can-you-defend-against-xss-vulnerability

20 лучших практик безопасности сервера OpenSSH

На этой странице показано, как защитить ваш сервер OpenSSH, работающий в Linux или Unix-подобной системе, чтобы улучшить безопасность sshd . https://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

▫️Основы безопасности контейнеров: изучение контейнеров как процессов https://shly.link/GtqU6
▫️Основы безопасности контейнеров, часть 2: Изоляция и пространства имен https://shly.link/pFqFR
▫️Основы безопасности контейнеров, часть 3: Возможности https://shly.link/i5Kin
▫️Основы безопасности контейнеров, часть 4: Cgroups https://shly.link/08qnx

История одной уязвимости.

Всем привет. Сегодня я поведаю о дыре в безопасности одного открытого проекта — от выявления до устранения, а также как решая заявку с багом, невольно стал исследователем уязвимостей.

Читать дальше → https://habr.com/ru/companies/ruvds/articles/734306

Эксплуатация MOVEit Transfer — это не просто SQL-инъекция ( 👀). Мы обнаружили самый последний этап цепочки атак, чтобы сбросить human2.aspx, что в конечном итоге приводит к удаленному выполнению кода ‼️

Проверьте все, что мы накопали: https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response

Почему новые домены .zip и .mov — подарок «Гугла» мошенникам.
В последние годы обширный список доменов первого уровня (top level domains, TLD) регулярно пополняется: всё чаще в дополнение к обычным доменам .com, .org, .ru, .net стали встречаться домены .aero, .club итд.

Следуя за спросом, Google анонсировал в мае 8 новых доменов, включая два неотличимых от популярных расширений файлов адреса: .zip и .mov. От остальных доменов верхнего уровня эти два отличаются тем, что соответствующие URL крайне трудно отличить от имен файлов с таким же разрешением. IT и ИБ-специалисты немедленно подняли тревогу о проблемах этого TLD: возможная путаница, ошибки в обработке ссылок и новые схемы фишинга.

Не прошло и месяца, как уже были обнаружили первые примеры реального фишинга с использованием этого подарка Google скамерам. Бороться с этим можно и нужно, но не лучше ли было бы просто признать ошибку и разделегерировать эти домены насовсем?

Читать далее https://habr.com/ru/companies/xeovo/articles/740642/

Отличное введение в концепции криптографии для начинающих

Часть 1: https://sergioprado.blog/introduction-to-encryption-for-embedded-linux-developers/
Часть 2: https://sergioprado.blog/a-hands-on-approach-to-symmetric-key-encryption/
Часть 3: https://sergioprado.blog/asymmetric-key-encryption-and-digital-signatures-in-practice/

Google недавно выпустил новый сертификат в области кибербезопасности. Вам не нужно никакого опыта, чтобы начать, так как он был разработан для начинающих. В этом руководстве объясняется, что такое сертификат специалиста по кибербезопасности и как начать работу.

https://www.freecodecamp.org/news/cybersecurity-professional-certificate-by-google/

Мощный сенсорный инструмент для обнаружения панелей входа и сканирования POST Form SQLi

https://github.com/Mr-Robert0/Logsensor

Вирусы на серверах компании — как это бывает?.

Всем привет! В свободное от не-работы время я CTO собственной компании (DigitalWand), и как следствие – чем мне только ни приходится заниматься! И вот недавно один из наших клиентов посетовал на проблемы в своей внутренней кухне: мол, вирус положил внутренние сервисы, включая git и площадки для разработки. И тут мне вспомнилась собственная аналогичная проблема, которая произошла год тому назад. Вот эту страшилку и хотел бы рассказать. Думаю, будет полезна как начинающим сисадминам и девопсам, так и вообще людям, которые каким-то боком с линуксовыми серверами связаны, но серьёзного пороха ещё не нюхали.

https://habr.com/ru/articles/738984/