​​Токены, токены и еще раз токены.

Помним, что защита пользовательских сессий и построение безопасного механизма аутентификации у нас находится на втором месте в любимом OWASP TOP-10, следовательно кража пользовательских токенов — излюбленное занятие для злоумышленников.

Спасибо нашему читателю за наводку на крутой материал по user session security:

https://hackernoon.com/all-you-need-to-know-about-user-session-security-ee5245e6bdad
https://hackernoon.com/the-best-way-to-securely-manage-user-sessions-91f27eeef460

Cloudflare прилег. Половина интернета вместе с ним.

https://www.cloudflarestatus.com/

​​В марте на фоне сбоя WhatsApp к Telegram за 24 часа присоединилось 3 миллиона новых пользователей. Делаем ставки сколько пользователей присоединится за сегодняшние сутки? 😏

Там немного проехались по mac версии популярного сервиса видеоконференций ZOOM.

Вроде ничего особо серьезного, но материал вызвал огромный резонанс хотя бы потому что после установки, ZOOM поднимает на вашем mac свой localhost веб-сервер, который слушает входящие обращения и остается даже после удаления приложения. А в случае правильного обращения из браузера, он, например, всегда готов выполнить переустановку приложения.

https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Поэтому всегда хорошо, когда у тебя есть дополнительный эшелон защиты. В моем случае это бесплатная open-source утилитка LuLu от ребят из Objective See 🌚

Ну вы поняли https://zeronights.ru ;)

Гайд для тех, кто все еще не умеет в базовый RegExp.

https://github.com/ziishaned/learn-regex/blob/master/translations/README-ru.md

А вот ссылочки от читателей, где можно пошагово поучиться регуляркам, а также проверить уже существующие знания: https://regexone.com
https://regexcrossword.com/

​​Воу воу воу! Супер крутая подборка из 33 инструментов (бесплатных и не очень), чтобы сделать ваш Kubernetes секьюрным!

https://sysdig.com/blog/33-kubernetes-security-tools/

Like, share, add to favorites 🧟‍♂️

Любопытный тред от Евгения Волошина [BI.ZONE] и Омара Ганиева aka Beched [Deteact] про правильный инфраструктурный пентест и почему без четкой методики и разношерстной команды экспертов можно сделать только хуже.

Тред в соседнем чатике: t.me/codeibcommunity/956

Прошло как-то мимо глаз, надеюсь не ваших — нерекурсивная ZIP-бомба, способная из 10 МБайт превращаться в 281 ТБайт, а из 46 МБайт в 4.5 ПБайт! Лучший подарок для вашей песочницы!

И никакой магии, тот же самый алгоритм DEFLATE при сжатии.

[RU] https://habr.com/ru/post/459254/
[EN] https://www.bamsoftware.com/hacks/zipbomb/

Там на хабре ребята из Джет пиарят свой SOC, рассказывают об IoC lifecycle и о том, как утроен их Threat Intelligence.

https://habr.com/ru/company/jetinfosystems/blog/459674/

Race condition в веб-приложениях

https://bo0om.ru/race-condition-ru

Ничего не могу с собой поделать и пройти мимо таких новостей, поэтому просто оставлю это здесь.

Стартап Neuralink во главе с Илоном Маском представил свои технологии «нитей» для считывания информации из мозга, а также устройство для их вживления.

[RU] https://vc.ru/future/75589-startap-ilona-maska-neuralink-predstavil-niti-implanty-dlya-schityvaniya-informacii-iz-mozga-i-robota-dlya-ih-vzhivleniya
[EN] https://www.theverge.com/2019/7/16/20697123/elon-musk-neuralink-brain-reading-thread-robot

Ответ коммьюнити не заставил себя долго ждать, вот вам черновик Всеобщей декларации прав киборгов > https://cyborgrights.eu/

Ну вы поняли.

На anti-malware опубликовали сравнение популярных в России облачных сервисов по защите от DDoS-атак. https://www.anti-malware.ru/compare/DDoS-attack-protection-services

Немного комплаенса: 8 августа в 11:00 (МСК) у Digital Security пройдет вебинар на тему: "Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов".

Надеюсь будут конкретные практические советы и лайфхаки, а не как всегда :)

Регистрация свободная: https://events.webinar.ru/732031/2536961

Любители опенсорсных проектов из Cloud Native Computing Foundation (CNCF), руками парней из Trail of Bits и Atredis Partners провели аудит Kubernetes. А это, на секундочку, около 2 миллионов строк кода и 4 месяца кропотливой работы!

Результат: 34 уязвимости - 4 [critical], 15 [medium], 8 [low] и 7 [info]

Ознакомиться с результатами аудита, а также скачать полные отчеты с проблемными кусками кода можно по ссылке: https://www.cncf.io/blog/2019/08/06/open-sourcing-the-kubernetes-security-audit/

Какой интересный дизайн у банковских карт от Яндекса — если раньше нужно было просить сфотографировать карту с двух сторон, то теперь достаточно и одной. Удобно!