Что такое аутентификация на основе токенов?
Изучите аутентификацию на основе токенов, ее преимущества перед сеансами, различные типы токенов и роль токенов авторизации в безопасности.

https://www.permit.io/blog/what-is-token-based-authentication

Путеводитель по DDoS: основные виды и методы борьбы

Всем привет! На связи Николай Едомский, руководитель группы сетевых инженеров в ЕДИНОМ ЦУПИС.

В этой статье я простыми словами расскажу о том, что из себя представляет DDoS, о самых распространенных видах DDoS и методах борьбы с ними. Основная цель материала – на простых примерах передать суть этого явления и обозначить особую важность грамотного построения защиты от DDoS.

https://habr.com/ru/articles/783524/

🔒В этом посте рассматриваются пять различных запросов CodeQL, которые можно использовать для обнаружения потенциально серьезных ошибок в API OpenSSL libcrypto, которые могут вызвать утечки памяти, обходы аутентификации и другие криптографические проблемы. https://blog.trailofbits.com/2023/12/22/catching-openssl-misuse-using-codeql

🔒Введение в обход хуков EDR пользовательского режима

https://malwaretech.com/2023/12/an-introduction-to-bypassing-user-mode-edr-hooks.html

7 распространенных атак на внешний интерфейс

https://dev.to/tinymce/7-common-front-end-security-attacks-372p

Затыкаем рот Windows 10

Windows 10 очень любит Интернет. Обновления, синхронизации, телеметрия и ещё куча разной другой очень нужной ЕЙ информации постоянно гуляет через наши сетевые соединения. В «стандартном» сценарии использования, когда Windows 10 управляет домашним или рабочим компьютером, это, в общем-то, терпимо, хотя и не очень приятно.

Однако жизнь сложная штука и не ограничивается только стандартными вариантами. Существуют ситуации, когда подобная сетевая активность операционной системы (ОС) нежелательна и даже вредна. За примерами далеко ходить не надо. Попробуйте подключить к Интернету давно не используемый резервный компьютер, собранный на старом железе. Пока софт на нём не обновится, использовать его будет практически невозможно, всё будет дико тормозить и еле шевелиться. А если вам в этот момент нужно срочно что-то сделать?

Для того чтобы подобного не происходило, необходимо «заткнуть рот Windows», то есть сделать так, чтобы она самостоятельно перестала «стучаться» в Интернет, устанавливать обновления и заниматься прочими непотребствами. Вот именно этим мы с вами и займёмся. https://habr.com/ru/companies/ruvds/articles/778466/

Личный прокси для чайников: универсальный обход цензуры с помощью VPS, 3X-UI, Reality/CDN и Warp

На фоне прошлогоднего обострения цензуры в РФ, статьи автора MiraclePTR стали глотком свободы для многих русскоязычных айтишников. Я же хочу приоткрыть дверь к свободной информации чуть шире и пригласить «не‑технарей» («чайников»), желающих поднять личный прокси‑сервер для обхода цензуры, но дезориентированных обилием информации или остановленных непонятной технической ошибкой.

В этой статье я описал универсальное решение, которое обеспечивает прозрачный доступ к международному интернету в обход цензуры, использует передовые технологии маскировки трафика, не зависит от воли одной корпорации и главное — имеет избыточный «запас прочности» от воздействия цензоров. https://habr.com/ru/articles/785186/

Атака SQL-инъекцией в поле идентификатора электронной почты

https://infosecwriteups.com/sql-injection-attack-on-email-id-field-b8cfcdc8472a

OWASP API Security Top 10 — это стандартное справочное руководство, в котором освещаются наиболее важные уязвимости веб-API, которое помогает разработчикам и организациям понять и устранить потенциальные угрозы безопасности.

https://www.freecodecamp.org/news/owasp-api-security-top-10-secure-your-apis/

Как содержать пароли. Мой сетап

Я долго собирал информацию о том, как организовать свои аккаунты. Как сделать доступ к ним достаточно надёжным и стойким к утере девайсов.

Меня интересовало, как я могу залогиниться туда, где многофакторная авторизация через телефон, в случае потери телефона.

Или, как обезопасить себя от забывания мастер пароля от менеджера паролей? На моей практике я несколько раз забывал пин-код от банковской карты, состоящий из 4-ёх цифр, после ежедневного использования на протяжении многих месяцев. Мозг - странная штука.

В итоге, спустя месяцы изучения темы, я пришёл к следующему сетапу, который решил описать в виде мануала. Я долго собирал информацию о том, как организовать свои аккаунты. Как сделать доступ к ним достаточно надёжным и стойким к утере девайсов.

https://habr.com/ru/articles/787158/

Telegram показывает удаленные сообщения

Несколько дней назад я обнаружил, что Telegram приложение на Windows показывает давно удаленные чаты. При том, что их не было видно ни на телефоне, ни в Linux клиенте. Я поделился этим с друзьями, которые увидели то же самое.

Для оптимизации работы серверов, чаты разделены на несколько уровней. С повышением уровня группы у чата меняется его id, а история полностью копируется.

Я начал исследовать «удаленные чаты» по API, и заметил, что у всех них проставлен флаг «deactivated», и присутствует параметр migrated_to. Документация Telegram API прямо говорит, что эти чаты повысили уровень. Кроме того, история переписки обычно обрывалась добавлением участников или инициализацией видеоконференции. https://habr.com/ru/articles/787642/

Тестер безопасности приложений Latio (репозиторий GitHub)
LAST (Latio Application Security Tester) использует OpenAI для сканирования кода на наличие проблем безопасности из командной строки. Инструмент можно настроить на сканирование всего кода, только изменений или запуск в конвейере.

https://github.com/latiotech/LAST

Сталкер (репозиторий GitHub)
Stalker — это инструмент управления поверхностью атаки (ASM), в котором большое внимание уделяется расширяемости. Он оптимизирует и автоматизирует разведывательные операции, предоставляя вам возможность расширения его функциональных возможностей. Его веб-интерфейс обеспечивает легкий доступ к данным и обмен ими со всеми заинтересованными сторонами. https://github.com/red-kite-solutions/stalker

Исследователь обнаружил одну из крупнейших свалок паролей в новейшей истории (3 минуты чтения)
Исследователь обнаружил дамп паролей, содержащий почти 71 миллион уникальных учетных данных для различных сайтов, циркулирующих в Интернете. Этот дамп паролей уникален среди многих других многосайтовых дампов, поскольку он содержит почти 25 миллионов учетных данных, которые никогда раньше не были раскрыты. Учетные данные были собраны вредоносным ПО-вором, работающим на взломанных машинах.

https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale

7 наиболее распространенных атак на внешний интерфейс

https://blog.bitsrc.io/top-7-frontend-security-attacks-2e2b56dc2bcc

Ладья на XSS: как я хакнул chess.com детским эксплойтом

Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему!

В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости (Cross-Site Scripting, межсайтовый скриптинг) на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com. Но для начала небольшое вступление (в котором будет затронута немного менее серьёзная, но достаточно занятная, уязвимость OSRF (On-site Request Forgery, подделка запросов на сайте). https://habr.com/ru/companies/ruvds/articles/790330/

Раскрытие возможностей Scapy для фаззинга сети (3 минуты чтения)
В этом сообщении блога представлены инструкции по установке Scapy и демонстрируется его полезность при использовании для фаззинга FTP-сервера. Scapy — мощный инструмент для тестирования безопасности сети и приложений. Он предлагает широкие возможности манипулирования пакетами и может использоваться для фаззинга сетевых протоколов и протоколов конкретных приложений, а также для имитации атак типа «отказ в обслуживании».

https://www.darkrelay.com/post/unleashing-the-power-of-scapy-for-network-fuzzing

6 сканеров уязвимостей API

Крайне важно обеспечить безопасность и актуальность ваших API с использованием новейших мер безопасности. Но как узнать, безопасны ли ваши API? Ответ прост — с помощью сканера уязвимостей API. Сканеры уязвимостей могут обнаружить потенциальные угрозы безопасности в ваших API и помочь вам принять необходимые меры для предотвращения любых вредоносных атак со стороны хакеров . https://nordicapis.com/api-vulnerability-scanners

Основы безопасности Kubernetes: аутентификация (8 минут чтения)
В этом посте рассматривается аутентификация кластера Kubernetes. Он начинается с изучения внутренних методов аутентификации кластера, таких как клиентские сертификаты и учетные записи служб, а затем рассматриваются внешние методы аутентификации, такие как OIDC, для аутентификации в kube-api. Публикация завершается обзором того, как аутентифицироваться в других компонентах Kubernetes.

https://securitylabs.datadoghq.com/articles/kubernetes-security-fundamentals-part-3

Awesome GraphQL Security — это тщательно подобранный список платформ, программного обеспечения, библиотек и ресурсов GraphQL Security. Список разделен на наступательные, нейтральные и защитные инструменты.

https://github.com/Escape-Technologies/awesome-graphql-security

Как использовать LLM в качестве оружия для автоматического взлома веб-сайтов

https://www.theregister.com/2024/02/17/ai_models_weaponized