Аутентификация для WebSocket и SSE: до сих пор нет стандарта?

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.

В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности. https://habr.com/ru/articles/790272/

JWT-аутентификация в NodeJS

Полное руководство для начинающих по аутентификации JWT
https://arindam1729.hashnode.dev/jwt-authentication-in-nodejs

Фишинг «фичи» Телеграма

Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.

В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке. https://habr.com/ru/articles/794688/

Кодирование, шифрование и токенизация

https://blog.bytebytego.com/p/ep102-encoding-vs-encryption-vs-tokenization

Security Week 2411: критическая уязвимость в продуктах VMware.

5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».

Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.

Читать дальше →https://habr.com/ru/companies/kaspersky/articles/799357

Как я случайно превратила свой сокращатель ссылок в приманку для мошенников

Пару месяцев назад я запустила сервис y.gy, навороченный сокращатель URL. Вызвано это было личной нуждой: в другом моём проекте, getwaitlist.com, используется множество реферальных ссылок, а доступные сервисы сокращения url не внушали мне доверия. В итоге я решила создать собственный инструмент, который наверняка окажется полезен не только мне.

Я разработала лучший в своём роде сокращатель со всеми возможными примочками, начиная с обширной кастомизации и заканчивая хорошей аналитикой трафика. Это всё, что мне было нужно. По аналогии со многими аналогичными инструментами я разместила интерфейс «Shorten Link» по центру домашней страницы. Регистрация для использования сервиса не требуется. Я сделала доступ бесплатным и неограниченным, опираясь на принцип: «бесплатность – лучшая маркетинговая стратегия». Закончив с настройкой, я без громких заявлений сделала релиз и начала потихоньку продвигать свой проект.
https://habr.com/ru/companies/ruvds/articles/798649/

Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному

Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а госмаразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).

Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.

https://habr.com/ru/articles/799751/

OSINT-методы для обнаружения конфиденциальных документов, попавших в Сеть


https://christina-lekati.medium.com/osint-techniques-for-sensitive-documents-that-have-escaped-into-the-clear-web-6659f29e6010

bincapz (репозиторий GitHub)
bincapz — это инструмент для перечисления списка прогнозируемых возможностей двоичного файла. Его можно запустить в режиме сравнения, чтобы обнаружить любую уязвимость в цепочке поставок.

https://github.com/chainguard-dev/bincapz

Как я обнаружил множество XSS-уязвимостей, используя неизвестные методы

https://infosecwriteups.com/how-i-found-multiple-xss-vulnerabilities-using-unknown-techniques-74f8e705ea0d

Неисправимая уязвимость в чипе Apple приводит к утечке секретных ключей шифрования (5 минут чтения)
Исследователи обнаружили уязвимость побочного канала в чипах Apple M-серии. Эта уязвимость позволяет злоумышленникам извлекать секретные ключи шифрования во время обычных криптографических операций. Ошибка заложена в конструкции чипа и не может быть устранена с помощью обновлений программного обеспечения. https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips

Tailscale SSH теперь общедоступен
Мы рады сообщить, что Tailscale SSH теперь общедоступен. Tailscale SSH позволяет Tailscale управлять аутентификацией и авторизацией SSH-соединений

https://tailscale.com/blog/tailscale-ssh-ga

Переосмысление безопасности паролей: попрощайтесь с паролями в виде открытого текста
Понимание того, что такое аутентификация без пароля и как она меняет правила игры как для пользовательского опыта, так и для безопасности.

https://appwrite.io/blog/post/goodbye-plaintext-passwords

Лучшие бесплатные ресурсы для изучения этичного хакинга и кибербезопасности

https://habr.com/ru/articles/802449/

Более 170 тысяч пользователей пострадали от атаки с использованием поддельной инфраструктуры Python (9 минут чтения)
В этом посте рассказывается о сложной кампании кибератак, которая затронула более 170 000 пользователей с использованием поддельной инфраструктуры Python. Злоумышленники использовали различные тактики, такие как захват учетных записей, размещение вредоносного кода, настройка собственного зеркала Python и публикация вредоносных пакетов в реестре PyPi. Они также захватывали учетные записи GitHub, публиковали вредоносные пакеты Python и использовали схемы социальной инженерии.

https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure

k8spacket — визуализация трафика пакетов для kubernetes

https://github.com/k8spacket/k8spacket

#вакансия #job #vacancy #remote #parttime #преподаватель #reverse #SIEM #инциденты

Компания: OTUS – образовательная платформа. За более чем 6 лет работы мы создали более 170 авторских курсов для IT-специалистов разного уровня от Junior до Senior. Практически на каждом нашем курсе есть вступительное тестирование для наших студентов, плюс более 650 преподавателей-практиков из крупнейших компаний. Мы учимся друг у друга, советуемся, помогаем, делимся опытом и обсуждаем новости как в преподавании, так и в IT.

Вакансия: преподаватель онлайн-курса (интересные темы и нагрузку можно выбрать)
«Reverse Engineering»
«Специалист по внедрению SIE»
«Реагирование на инциденты ИБ»

Требуется практический опыт в рамках тематики курса. Можно без опыта преподавания. Мы с удовольствием поможем Вам освоить Best Practices преподавания: для этого у нас есть вводный курс по преподаванию и пробные уроки с методистом.

Преподаватель раскрывает тему урока с помощью теории и примеров из практики.

Условия:
✅ удаленное сотрудничество, занятость part-time.
✅стандартное занятие длится 1,5 часа с 20:00 до 21:30 по МСК.
✅ уроки проводятся в онлайн формате в Zoom.
✅ на занятиях используется презентация с теорией и практические примеры, чтобы раскрыть тему урока.
✅ наши методисты помогают освоить лучшие инструменты и практики преподавания.

Еще Вы сможете:
✅ внести свой вклад в развитие IT.
✅ структурировать свой опыт и знания.
✅ развивать личный бренд.
✅ прокачать софт-скиллы.
✅ получать от 3000 до 6000 руб. за проведение одного вебинара (полтора часа), проведение открытых уроков и другие активности (при желании), есть доплата за разработку материалов к занятиям (при необходимости).

Бонусы:
✅ наши курсы со скидкой/бесплатно.
✅ возможность приглашать в свою команду на работу лучших выпускников.
✅ воркшопы и конференции для наших преподавателей.

Подробнее в telegram: @ElenaAlias

Бэкдор, обнаруженный в широко используемой утилите Linux, взламывает зашифрованные SSH-соединения

Вредоносный код, внедренный в xz Utils, циркулирует уже больше месяца.
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/