Не одним htb едины

Гонял тут меня недавно один крутой АппСек на собеседовании по антипаттернам в коде, которые могут привести к эксплуатации типовых уязвимостей в продакшене. Психика конечно пострадала (не только моя), но зато потом я сел и начал искать способы тренировки этого навыка. А то кажется, что делать это вдали от реального Git-а и SAST-а не так уж и просто. И я нашел.

В общем, это почти как Hack The Box или Try Hack Me, но для АппСек-ов. Заходим, выбираем челлендж и ищем уязвимости в коде. А вот и сам сервис – ссылка

#AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

На GitHub не так много звездных ИБшных репозиториев, и это как раз один из них – ссылка

Собственно, это очередной агрегатор всего, что можно от AppSec и DevSecOps до пентеста и фишинга. Там и чеклисты, и инструменты, и фреймворки, и тактики, и даже лабораторные.

#AppSec #Pentest #DevSecOps #BaseSecurity #Network #web3

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

У гитхаба есть опенсорсный проект, созданный для повышения компетенции разработчиков в области безопасности ПО. Живёт этот проект уже довольно долго - аж 6 лет, и за это время тут появилось немало учебного материала для AppSec.

Самый вкусный материал это Secure Code Game - лабы для AppSec. В основном нужно будет ревьюить js и python, но также иногда встречаются упражнения на C и Go. Всего 16 лаб и целью каждой из них является:
1) Провести ревью уязвимого кода
2) Устранить уязвимость и запушить изменения в ветку
3) Дождаться результата тестов

Также, у этого проекта есть небольшие обучающие материалы по фаззингу и CodeQL. Приправлено всё это статейками о безопасности кода.

Приятного обучения!

#AppSec #Practice

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

MITRE ATT&CK у нас дома

Нашли тут матрицу техник, которая вдохновлена всем известным фреймворком от MITRE. В отличие от своей вдохновительницы, эта матрица охватывает атаки на веб-приложений, в то время как MITRE ATT&CK покрывает по большей части инфраструктуру вокруг приложений.

В этой матрице описано много методов атак на приложения, которые использовались APT группировками при реальных инцидентах. Также, помимо самой матрицы, на данном ресурсе есть страница с подробным описанием громких атак на продукты (включая относительно недавний инцидент с криптобиржей ByBit).

#BaseSecurity #AppSec #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Держите подгон в виде огромной майндмапы с тулзами красной и синей команды.

За изучение всех этих инструментов полагается ачивка в виде диагноза случайного психического расстройства, выгоревших глаз и больной спины.

#BaseSecurity #AppSec #SOC #Pentest

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Пару месяцев назад прошел БЕКОН 2025.

Сама конфа посвящена безопасности контейнеров и всего, что с ними связано. Конфа была дорогая. Проходки были не у всех, поэтому новость вдвойне радостная.

Недавно подоспели видео с докладами с данного мероприятия. Также на сайте вы можете найти и скачать архив с докладами.

#DevSecOps #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Прозрачное программное обеспечение

Сегодня расскажем немного о книге, которую нам любезно предоставило издательство Питер – "Прозрачное программное обеспечение. Безопасность цепочек поставок ПО".

Сама книга, как можно понять из названия, посвящена защите цепочек поставок ПО. Очень большой фокус делается на спецификации SBOM (Software Bill of Materials), которая представляет из себя список всех компонентов, библиотек и зависимостей, входящих программный продукт. В книге описано довольно много информации о том, для чего нужен SBOM и где его применять.

Также затрагивается значимость и других, немаловажных, инструментов для обеспечения прозрачности цепочек поставок, таких как VEX (Vulnerability Exploitability eXchange) и SLSA (Security Levels for Software Artifacts).

Книга не очень большая (около 350-ти страниц), но в ней сконцентрировано очень много полезного материала – от теоретических понятий до практического применения инструментов.

Рекомендовать мы бы её стали действующим специалистам DevOps/DevSecOps и специалистам, которые занимают управляющие должности в кибербезе. Для новичков такая литература не очень подойдёт, так как книга не даёт базовых знаний, а имеет более углубленную направленность в сторону выстраивания процессов в ИБ.

#DevSecOps #AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

От литературы бумажной переходим к литературе электронной.

Делимся с вами исчерпывающим гайдом по безопасности для разработчиков веб-приложений. Здесь вас ждёт 400 страниц концентрированной базы по тому как писать безопасный код для веба.

Книга для вас, если вы соответствуете хотя бы одному критерию:
1. Вы аппсек
2. Вам интересна безопасность веб приложений
3. Вам небезразлична судьба Алисы и Боба

#AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня у нас подгон для новичков в AppSec.

Данный документ погружает вас в базу безопасности приложений. Здесь вы найдёте информацию о:
- Распространённых видах атак и уязвимостей в приложениях
- База по AppSec (SDLC, SAMM, BSIMM и т.д.)
- Модели безопасной разработки (Design Security Application Architecture, Security Design & Testing и т.д.)

Также в документе к практически каждому фреймворку прикреплены полезные ссылки для углубленного изучения.

#AppSec

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Делимся с вами ресурсом, который поможет в обеспечении безопасности систем ИИ - Google SAIF.

На этом ресурсе есть несколько ключевых разделов:
- SAIF Risk Map − карта с рисками безопасности. Она разделена на 4 компонентных группы: информация, инфраструктура, модель и приложение. Каждой группе присущи свои риски и соответственно свои подходы по снижению вероятности возникновения этих самых рисков.
- Secure AI Development Primer − гайдлайн по жизненному циклу ИИ разработки с особым вниманием к безопасности.
- Risk Self Assessment − тест на оценку безопасности вашей компании, который определяет актуальные риски, связанные с ИИ.

Ну и как вишенка на торте есть ещё страничка с полезными доп материалами по теме.

#AppSec #AI

🧠Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Сегодня у нас чтиво о защите периметра сети - Архитектура защищённости сетей.

В данной книге разбираются такие типы СЗИ как NGFW, Email Security, WAF и Sandbox. Список самих обозреваемых решений довольно большой, начиная от циски и майкрософта, заканчивая нашими решениями от PT, Usergate и т.д.

Прочитав эту книгу вы сможете понять, цель каждого из описанных СЗИ и в какую часть сети их нужно внедрять.

#AppSec #DevSecOps #SecArch

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Сегодня у нас контент для ушей - выпуск подкаста "Подлодка" про авторизацию и аутентификацию.

Здесь можно послушать про механизмы работы аутентификации, вторые факторы и их плюсы и минусы. Также тут освящаются ошибки в реализации этих механизмов, так что подкаст будет полезен как для синей команды, так и для красной.

Также в описании к подкасту есть много полезных ссылок на руководства по разработке и тестированию механизмов аутентификации.

#AppSec #Pentest #BaseSecurity

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы

Делимся большой картой с сертификатами в ИБ.

Карта разделена на три уровня сложности (Начинающий, Средний, Эксперт) и на большое количество ролей, начиная от ред/блю тим, заканчивая безопасностью сетей и архитектуры.

Сами сертификаты можно фильтровать по стоимости, вендорам и специальностям. И ещё тут есть фича сравнения сертификатов по ключевым параметрам.

Цель на жизнь поставлена, можно начинать собирать.

#AppSec #Pentest #DevSecOps #SecArch #SOC

🧠 Пакет Знаний | 👨‍🏫 Менторство
📂 Другие каналы