Ну а теперь плавно переходим практической безопасности в мире криптовалют web3 и блокчейнов. Да, такие тоже есть и их достаточно.

Тренажеры по web3

- CryptoZombies – [ссылка](https://cryptozombies.io/)
- The Cryptopals Crypto Challenges - [ссылка](https://cryptopals.com/)
- LearnWeb3 – [ссылка](https://www.learnweb3.io/)
- Smart Contract Engineer – [ссылка](https://www.smartcontract.engineer/)
- Solidity by Example – [ссылка](https://solidity-by-example.org/)
- Web3 University – [ссылка](https://www.web3.university/)
- useWeb3 – [ссылка](https://www.useweb3.xyz/)

CTF по web3

- Capture the Ether – [ссылка](https://capturetheether.com/)
- Security Innovation Blockchain CTF – [ссылка](https://blockchain-ctf.securityinnovation.com/#/)
- Damn Vulnerable DeFi – [ссылка](https://www.damnvulnerabledefi.xyz/)
- The Ethernaut – [ссылка](https://ethernaut.openzeppelin.com/)
- ONLYPWNER - EVM CTF Platform – [ссылка](https://onlypwner.xyz)
- GOAT Casino – [ссылка](https://github.com/nccgroup/GOATCasino)
- ciphershastra CTF – [ссылка](https://ciphershastra.com/)
- Paradigm CTF – [ссылка](https://github.com/paradigm-operations/paradigm-ctf-2021)
- Blocksec CTFs – [ссылка](https://github.com/blockthreat/blocksec-ctfs)
- DeFiVulnLabs – [ссылка](https://github.com/SunWeb3Sec/DeFiVulnLabs)
- Vulnmachines (Blockchain hacking) – [ссылка](https://www.vulnmachines.com/)
- QuillCTF – [ссылка](https://quillctf.super.site/)

#web3 #Practice

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Для тех, у кого туговато идёт чтение литературы на иностранных языках – ловите нейросеть, которая умеет переводить целые книги – ссылка

Она частично бесплатная – до 20 000 слов, но платный тариф стоит всего $10/месяц. В нейронке зашито очень много языков и форматов (в том числе .doc, .docx, .xls, .xlsx, .pdf), которые она воспринимает.

Зарубежных книг, исследований и аналитических материалов очень много, так что точно пригодится.

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Впитываем базу по протоколам и архитектуре API

Нашел тут красивую инфографику на тему API. Есть нюансы по REST и EDA, но в целом годно и объёмно, так что пробежаться и зафиксировать у себя в голове лишним не будет.

Да, тут не столько про безопасность, сколько про IT, но вы же помните, что мы не можем защищать и атаковать то, чего не понимаем. Ниже нотация на случай, если не можете разглядеть на картинке.

1. REST (Representational State Transfer)
- An architectural style for designing networked applications.
- It emphasizes stateless communication, the use of standard HTTP methods (GET, POST, PUT, DELETE), and resources identified by URLs.

2. GraphQL
- A query language for APIs that allows clients to request exactly the data they need, nothing more and nothing less.
- This efficiency is a major advantage over REST, where endpoints often return fixed data structures.

3. SOAP (Simple Object Access Protocol)
- A protocol for exchanging structured information in the form of XML messages over a network.

4. gRPC (Google Remote Procedure Call)
- A high-performance, open-source framework for remote procedure calls (RPCs).
- It uses Protocol Buffers (a compact binary format) for data serialization.

5. Webhooks
- A mechanism for real-time communication between applications.
- A webhook is essentially an HTTP callback triggered by a specific event in one system, which sends a notification to another system.

6. WebSockets
- A protocol providing full-duplex communication channels over a single TCP connection.
- WebSockets enable real-time data exchange between a client and a server.

7. MQTT (Message Queuing Telemetry Transport)
- A lightweight publish-subscribe messaging protocol designed for low-bandwidth, high-latency, or unreliable networks.
- It is commonly used in IoT (Internet of Things) applications.

8. AMQP (Advanced Message Queuing Protocol)
- An open standard protocol for message-oriented middleware.
- AMQP provides features like reliable message delivery, routing, and queuing, making it suitable for enterprise integration scenarios.

9. EDA (Event-Driven Architecture)
- A software architecture pattern where applications react to events (e.g., user actions, sensor readings).
- EDA promotes loose coupling and scalability.

10. EDI (Electronic Data Interchange)
- A set of standards for exchanging business documents (e.g., purchase orders, invoices) electronically between organizations.
- EDI is widely used in supply chain management and logistics.

11. SSE (Server-Sent Events)
- A server-push technology that allows a server to send updates to a client over an HTTP connection in a unidirectional manner.

#BaseSecurity #API

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Ну а кто, если не они

OWASP выпустил свой Top 10 для LLM (Large Language Model) Applications. Если по-русски, то это всё тот же, всемирно признанный список самых опасных угроз безопасности, но не для веба, а для нейронок, LLM, ML и всего того, что пришло на смену web3.

В общем, такое уже надо знать много кому, поэтому читаем.

#AI

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Харденинг

Есть такая область безопасности и ДевОпса под названием харденинг. Если коротко, то с помощью этого подхода можно обеспечить дополнительную безопасность чего-угодно (сервера, сети, БД, ОС) за счет уменьшения поверхности атаки = заколачивания окон досками.

Делается это обычно при помощи достаточно сурового затягивания болтов через конфигурации, отключения избыточных функций и доступов. Вещь в работе и на собесах нужная, так что забираем.

⚙ Целый сборник харденинг-годноты – раз и два
⚙ Чеклисты по харденингу всего и вся – ссылка

#BaseSecurity #DevSecOps #Network

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Заходят как-то в бар AntiDDoS, Anti-Bot, WAF и NGFW

Сразу предупреждаю – пост будет хоть и коротким, но душноватым, поэтому вдыхаем.

Когда-то давно на одном собеседовании мне задали архитектурный вопрос к которому я абсолютно не было готов. После десятка вопросов по безопасности кода, настройке мониторинга и защите различных ОС, мне под самый конец интервью задают всего один и очень простой вопрос: "Расположи в правильном порядке WAF, AntiDDoS, FW и балансировщик".

Казалось бы, вопрос максимально простой, вывести ответ на который не так уж и сложно, но видимо тогда в моей голове уже образовался абсолютный вакуум. И да. на вопрос я ответил, но какой ценой...

Так вот, я тут наткнулся на статейку, где простым и понятным языком наконец-то разобрали базовую базу того, что происходит на периметре безопасности (и чуть дальше) с внешним трафиком, и как вообще его фильтровать – ссылка

Думаю, что даже смогу пристроить эту статейку к себе в менторсткую программу, чтобы на мои грабли никто больше не наступал. Ну всё-всё, выдыхаем.

#Полезное

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Настало время уязвимостей

Что-то модно (как уязвимости Next.js и GraphQL), что-то вышло из моды (как уязвимости для Adobe Flash Player), а что-то вечно (привет, Битрикс).

Как вы уже догадались, сегодня мы поговорим про уязвимости. А точнее про то, как безопасники вообще следят за их трендами и тем, что сейчас их всего скопления CVE стоит их внимания, а что из этого уже можно забыть.

Человечество уже давно подумало об этой проблеме, ведь новые уязвимости появляются каждый день, а актуальными они остаются разные периоды времени. Часть из них охватывает большие ландшафты (как было с log4j), а некоторые, хоть и критичные, не так страшны, из-за того, что уязвимые элементы не так распространены.

Так вот, существуют специализированные платформы или сервисы, которые собирают, анализируют и предоставляют информацию о наиболее актуальных и опасных уязвимостях в сфере кибербезопасности. И да, к ним также подключаются решения класса TI, чтобы мониторить обстановку.

Ну а вот и эти платформы-агрегаторы 👇

📂 CVE Crowd – один из самых популярных сервисов

📂 CVE Shield – один из самых старых агрегаторов

📂 Vulmon Vulnerability Trends – хороший агрегатор с историей за прошлые дни

📂 CVE Trends – топ10 обсуждаемых в интернетах уязвимостей за сутки

📂 Vulners – целый портал кибербезопасных инфоповодов, включая эксплойты, безопасность AI, BugBounty и прочее

Их на самом деле намного больше, но половина из этих сервисов дублирует друг друга, да и я не уверен, что стоит пользоваться всеми. Что-то себе по вкусу вы из этого списка найти точно сможете.

#BaseSecurity #AppSec #DevSecOps #Pentest

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Да кто такой, этот ваш mTLS

На собеседованиях все еще продолжают спрашивать про mTLS, его отличие от TLS, зачем оно надо, как оно работает и от чего защищает.

Собственно, ловите пару статеек на эту тему – там и про рукопожатия, и про конфиги в k8s, и про Ambient Mesh, и даже картиночки есть.

✅ Статья раз – ссылка

✅ Статья два – ссылка

#BaseSecurity #DevSecOps #Network

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Визуал – наше всё

Полезная нейронка для визуализации чего-угодно. Очень круто выстраивает связи и визуально структурирует любую текстовую информацию, которую в нее загружаешь. Умеет пережевывать разные форматы – хоть презентации в PowerPoint, хоть ГуглДоксы, хоть странички из Ноушена.

Очень полезно для того, чтобы разложить по полочкам большие объемы информации, когда что-то изучаешь или разбираешь новую тему например.

А вот и сервис – ссылка

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Одна из самых популярных точек входа в мир кибербезопасности через инженера SOC L1. Более того, эта позиция дает достаточно очевидный и прозрачный рост в сторону L2 и L3. Единственный нюанс – многие до сих пор думают, что SOC, это что-то про мониторинг инцидентов, хотя это далеко не так.

Я тут наткнулся на годный файлик, в котором подробно и лаконично расписана вся подноготная SOC – начиная с его структуры, заканчивая описанием каждой роли внутри него. Более того, там даже есть заметки на тему того, чего не хватает ребятам с L1 для того, чтобы перейти на L2 и так далее.

В общем, делюсь. Кажется, такие вещи нужно знать всем безопасникам.

#SOC #BaseSecurity

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Строим DevSecOps и усложняем аббревиатуры

Есть одно отечественное безопасное сообщество под названием FinDevSecOps. Они тут на днях состряпали и опубликовали свой классификатор существующих на рынке DevSecOps решений и карту DevSecOps-инструментов.

Там есть как коммерческие решения (надеюсь, что эта история не проплачена), так и опенсорс, что важно. Чем же это может помочь тебе? Да тем, что нагуглить всю эту информацию крайне сложно. Особенно, с учетом того, что в поисковиках будет ранжирование явно не по уровню пользы.

Ну а если ты матерый безопасник или CISO, которому нужно в ближайшее время выстроить кибербез в своей компании, то это вообще мёд, так как не нужно тратить деньги и время на лишний ресерч. Глянуть это добро можно вот тут или в файлике, который я прикрепил к посту.

Короче, забираем однозначно.

#BaseSecurity #DevSecOp

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

🌹 С 8 марта кстати!

Давай мясо

Не помню, скидывал ли я эту визуальную мясорубку сюда или нет, но держите – ссылка

Здесь наглядно показано, почему ребята из DevSecOps зарабатывают больше среднего по больнице. В целом, можно брать эту референсную схему и накладывать ее на ваш ландшафт, процессы и технологии.

Да, потом придется все это строить, но это уже совсем другая история.

#DevSecOps

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Безопасность куберов

Наткнулся на комплексный гайд от ребят из CrowdStrike (помните их, да? ну ладно, с кем не бывает) про то, как атакуют и защищают кластера Kubernetes.

В целом, ничего нового, помимо хорошо расписанных векторов атак. Ну а если вы только погружаетесь в безопасность k8s, то для начала советую почитать старую-добрую базу от ребят из QIWI – ссылка

#DevSecOps #BaseSecurity #CloudSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Врум-врум, коллеги по цеху. Настало время попробовать стримы на технические темы и разборы чего-то хардкорного, за которые вы голосовали вот здесь.

В этот раз обсудим достаточно попсовую, но всё еще болезненную для многих тему харденинга k8s. Это спрашивают на собеседованиях, это пригождается в работе. Да и в целом, полезно будет узнать, как защищать то, на чем держится 80% энтерпрайза в наши дни.

Ну а расскажет вам об этом самый настоящий кибербезопасник и автор канала s3c4rch – @tembitt

🗓 Когда: 16 марта в 16:00 по мск
📍 Где: прямо в этом канале в формате стрима

Честно не знаю, что из этого получится, но если вам зайдет, то будем продолжать.

#DevSecOps #BaseSecurity #CloudSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Я распишу поминутно, как баги искать

Сначала компании нанимают безопасников в штат. Потом компании выводят свои продукты на БагБаунти. После этого они сами выпускают статьи, чтобы научить багхантеров находить уязвимости в своих же продуктах за деньги. Ох уж этот дивный мир 😫

Шутки шутками, то если вы смотрите в сторону багхантинга и еще не преисполнились в его познании, то ловите годную статью с подробнейшим разбором того, что это такое и с чем это есть – ссылка. Там и про типовые инструменты, и про автоматизацию, и про то, как вообще выглядит этот процесс поиска слабостей безопасности.

Ребятам из Бастиона кстати отдельный респект. Писал с ними пару статей – лично у меня остались только положительные эмоции.

И да, такое мы читаем.

#Pentest #BugBounty

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы

Сегодня митапный муд 🥔