Забавно наблюдать, что после того как я впал в анабиоз на пару лет, появилось огромное количество подобных каналов , где постят какие-то скрипты с гита и тд. Еще и за безопасность рассуждают какую-то💀
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from VK Security
Спойлерим программу конференции VK Security Confab Max
💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря
Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.
🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.
🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.
🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.
⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.
💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.
📍 Москва, офис VK + трансляция онлайн
📅 11 декабря 2024 года
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии
#confab #max #конференция
Что нас ждет? Как и обещали – лютый хардкор!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
#confab #max #конференция
Please open Telegram to view this post
VIEW IN TELEGRAM
https://team.vk.company/confabmax/?utm_source=tg&utm_medium=vksecurity&utm_campaign=confabmax
В 12.55 по МСК👁
Трек 2 ☄️
В 12.55 по МСК
Трек 2 ☄️
Please open Telegram to view this post
VIEW IN TELEGRAM
team.vk.company
VK Security Confab Max
Всем привет !
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS
Скоро новый пост 🥷
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS
Скоро новый пост 🥷
Forwarded from VK Security
SSRF: маленькая уязвимость – большие проблемы
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt
Поучаствовал в создании статьи для мейла
https://hi-tech.mail.ru/review/124705-spetsialist-po-informatsionnoj-bezopasnosti/#anchor174314712806481185
https://hi-tech.mail.ru/review/124705-spetsialist-po-informatsionnoj-bezopasnosti/#anchor174314712806481185
Hi-Tech Mail
Специалист по информационной безопасности: кто это, чем занимается, и как им стать в 2025 году
В современном цифровом мире защита информации и технологий становится критически важной задачей для каждой организации. Специалист по информационной безопасности — это ключевой сотрудник, который несет ответственность за сохранность данных, систем и сетевой…
Forwarded from Похек
Kubernetes Pentesting
MicroK8s Pentesting
Docker Engine API Pentesting
Docker Escape
Docker Pentesting
Docker Registry Pentesting
Moby Docker Engine PrivEsc
Простой скрипт для проверки базовых векторов побега из Docker
https://github.com/eversinc33/JailWhale
Please open Telegram to view this post
VIEW IN TELEGRAM