Пароли в открытом доступе: ищем с помощью машинного обучения.
Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором.
Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?
Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.
Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/
Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором.
Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда?
Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.
Читать далееhttps://habr.com/ru/companies/lamoda/articles/793716/
Хабр
Пароли в открытом доступе: ищем с помощью машинного обучения
Я больше 10 лет работаю в сфере IT и информационной безопасности. И знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. Мы разрабатываем самые надежные способы...
Безопасность фронтенд-приложений: советы и подсказки
Комплексное руководство по безопасности приложений
https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66
Комплексное руководство по безопасности приложений
https://blog.bitsrc.io/frontend-application-security-tips-practices-f9be12169e66
Medium
Frontend Application Security: Tips and Tricks
A Comprehensive Guide to Application Security
В чем разница между версиями TLS?
https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6
https://medium.com/asecuritysite-when-bob-met-alice/whats-the-difference-between-tls-versions-57b448afddf6
Medium
What’s the Difference Between TLS Versions?
TLS (Transport Layer Security) saved the world of cybersecurity. Without it, our communications could be open to being spied upon, and…
🔒 Составленный контрольный список из более чем 300 советов по защите цифровой безопасности и конфиденциальности в 2024 году.
https://github.com/Lissy93/personal-security-checklist
https://github.com/Lissy93/personal-security-checklist
GitHub
GitHub - Lissy93/personal-security-checklist: 🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in…
🔒 A compiled checklist of 300+ tips for protecting digital security and privacy in 2024 - Lissy93/personal-security-checklist
Как система автоматизации обнаружила учетные данные администратора по умолчанию
Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .
https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307
Привет, хакеры, я вернулся с новым отчетом о вознаграждении за обнаружение ошибок. В этом блоге я собираюсь показать, как моя система автоматизации обнаружила учетные данные администратора по умолчанию на внутреннем ИТ-портале компании — Sapphire IMS . У компании есть программа вознаграждения за обнаружение ошибок на Hackerone .
https://vijetareigns.medium.com/how-automation-detected-default-admin-credential-worth-500-d6c09719d307
Medium
How Automation Detected Default Admin Credential Worth $500
FREE ARTICLE LINK👈
Платформа управления секретами с открытым исходным кодом : синхронизируйте секреты/конфигурации внутри вашей команды/инфраструктуры и предотвращайте утечку секретов.
https://github.com/Infisical/infisical
https://github.com/Infisical/infisical
GitHub
GitHub - Infisical/infisical: Infisical is the open-source platform for secrets management, PKI, and SSH access.
Infisical is the open-source platform for secrets management, PKI, and SSH access. - Infisical/infisical
Странный и очень прибыльный мир конкурсов писателей-киберпреступников
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?
На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об этом секрете Полишинеля?
На всякий случай ссылки давать не буду. И заходить на эти сайты не рекомендую, если у вас нет хороших антивирусов. Но если кто-то об этой истории не знал, велком. https://habr.com/ru/companies/ruvds/articles/795469/
Хабр
Странный и очень прибыльный мир конкурсов писателей-киберпреступников
Соревнования на форумах киберпреступников в Рунете обещают призовые до 80 тысяч долларов. Всё это происходит почти в открытую, а победителей потом хантят к себе хакерские сообщества. Слышали ли вы об...
Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.
А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.
А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/
Хабр
Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений. В статье разберем особенности...
JWT-аутентификация в NodeJS
Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs
Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs
Arindam Majumder
JWT Authentication in NodeJS
A Complete Beginner's Guide to JWT Authentication
Фишинг «фичи» Телеграма
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.
В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.
В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/
Хабр
Фишинг «фичи» Телеграма
Телеграм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все...
Кодирование, шифрование и токенизация
https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization
https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization
Bytebytego
EP102: Encoding vs Encryption vs Tokenization
This week’s system design refresher: Caching Pitfalls Every Developer Should Know (Youtube video) Encoding vs Encryption vs Tokenization Kubernetes Tools Stack Wheel Fixing bugs automatically at Meta Scale The one-line change that reduced clone times by a…
Security Week 2411: критическая уязвимость в продуктах VMware.
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357
Хабр
Security Week 2411: критическая уязвимость в продуктах VMware
5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation...
Как я случайно превратила свой сокращатель ссылок в приманку для мошенников
Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.
Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/
Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.
Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/
Хабр
Как я случайно превратила свой сокращатель ссылок в приманку для мошенников
Пару месяцев назад я запустила сервис y.gy , навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com , используется множество реферальных ссылок, а...
Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а госмаразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).
Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.
https://habr.com/ru/articles/799751/
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а госмаразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).
Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.
https://habr.com/ru/articles/799751/
Хабр
Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а маразм все усиливается и усиливается, стоит еще раз поднять тему обхода этих самых...
OSINT-методы для обнаружения конфиденциальных документов, попавших в Сеть
https://christina-lekati.medium.com/osint-techniques-for-sensitive-documents-that-have-escaped-into-the-clear-web-6659f29e6010
https://christina-lekati.medium.com/osint-techniques-for-sensitive-documents-that-have-escaped-into-the-clear-web-6659f29e6010
Medium
OSINT Techniques for Sensitive Documents That Have Escaped Into The Clear Web
I have been working full-time in this industry for about 8 years. Part of my work involves conducting vulnerability assessments for…
bincapz (репозиторий GitHub)
bincapz — это инструмент для перечисления списка прогнозируемых возможностей двоичного файла. Его можно запустить в режиме сравнения, чтобы обнаружить любую уязвимость в цепочке поставок.
https://github.com/chainguard-dev/bincapz
bincapz — это инструмент для перечисления списка прогнозируемых возможностей двоичного файла. Его можно запустить в режиме сравнения, чтобы обнаружить любую уязвимость в цепочке поставок.
https://github.com/chainguard-dev/bincapz
GitHub
GitHub - chainguard-dev/malcontent: #supply #chain #attack #detection
#supply #chain #attack #detection. Contribute to chainguard-dev/malcontent development by creating an account on GitHub.
Как я обнаружил множество XSS-уязвимостей, используя неизвестные методы
https://infosecwriteups.com/how-i-found-multiple-xss-vulnerabilities-using-unknown-techniques-74f8e705ea0d
https://infosecwriteups.com/how-i-found-multiple-xss-vulnerabilities-using-unknown-techniques-74f8e705ea0d
Medium
How I Found Multiple XSS Vulnerabilities Using Unknown Techniques
Hello, everyone. I hope you are well.
Неисправимая уязвимость в чипе Apple приводит к утечке секретных ключей шифрования (5 минут чтения)
Исследователи обнаружили уязвимость побочного канала в чипах Apple M-серии. Эта уязвимость позволяет злоумышленникам извлекать секретные ключи шифрования во время обычных криптографических операций. Ошибка заложена в конструкции чипа и не может быть устранена с помощью обновлений программного обеспечения. https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips
Исследователи обнаружили уязвимость побочного канала в чипах Apple M-серии. Эта уязвимость позволяет злоумышленникам извлекать секретные ключи шифрования во время обычных криптографических операций. Ошибка заложена в конструкции чипа и не может быть устранена с помощью обновлений программного обеспечения. https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips
Ars Technica
Unpatchable vulnerability in Apple chip leaks secret encryption keys
Fixing newly discovered side channel will likely take a major toll on performance.