SecuriXy.kz
Photo
Docker: 10 Security Best Practices
Перевод статьи о лучших практиках по работе с образами Docker от компании Snyk
А также перевод памятки по безопасности образов Docker которую можно распечатать и держать перед глазами
Перевод статьи о лучших практиках по работе с образами Docker от компании Snyk
А также перевод памятки по безопасности образов Docker которую можно распечатать и держать перед глазами
SecuriXy.kz
Docker: 10 Security Best Practices Перевод статьи о лучших практиках по работе с образами Docker от компании Snyk А также перевод памятки по безопасности образов Docker которую можно распечатать и держать перед глазами
docker-bezopasnost-obrazov.pdf
246.8 KB
Docker: 10 Security Best Practices
Специально для наших подписчиков подняли свой собственный MTProxy для Telegram
https://tttttt.me/proxy?server=tg.securixy.kz&port=404&secret=5337b0411e7849fce2b6b6e3baf40808
https://tttttt.me/proxy?server=tg.securixy.kz&port=404&secret=5337b0411e7849fce2b6b6e3baf40808
Горячие пирожки, наши братья с @sysadm_in_channel только что сообщили неприятную новость - Facebook хранил пароли в плейн-тексте в читабельном виде:
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
Признание от ФБ:
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/
https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
Признание от ФБ:
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/
Meta
Keeping Passwords Secure | Meta
As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. We have fixed these issues and as a precaution we will be notifying everyone whose passwords…
Список линков на золотую коллекцию ресурсов
Awesome - оглавление - рекурсивно насчитывает более 100 000 ресурсов
Awesome OSINT - сборник ресурсов на тему поиска, сбора и анализ информации о цели
Awesome Lockpicking - The art of unlocking a lock by manipulating its components without the key.
Awesome Honeypots - ловушки для хакеров
Awesome Hacking - взлом и безопасность разных платформ, сети, веба, криптография, форензика и т.п.
Awesome Malware Ananlysis - Анализ зловредов
Awesome CTF - Capture The Flag
Awesome Android security - утилиты и best practices мануалы по безопасности Андроида
Awesome Car security - безопасность "умных" авто
Awesome Web security - безопасность веб-приложений
Awesome Raspberry Pi - сборник ресурсов по малине
https://github.com/thibmaek/awesome-raspberry-pi
Awesome Windows - софт, гайды, чит-листы
Awesome Linux - софт, гайды, чит-листы
Awesome iOS - софт, гайды, чит-листы
Awesome Android - софт, гайды, чит-листы
Awesome Pentest - сборник ресурсов по пентесту и аудиту систем
Ина сладкое - список фильмов, так или иначе связанных с IT
Awesome - оглавление - рекурсивно насчитывает более 100 000 ресурсов
https://github.com/sindresorhus/awesomeAwesome OSINT - сборник ресурсов на тему поиска, сбора и анализ информации о цели
https://github.com/jivoi/awesome-osintAwesome Lockpicking - The art of unlocking a lock by manipulating its components without the key.
https://github.com/meitar/awesome-lockpickingAwesome Honeypots - ловушки для хакеров
https://github.com/paralax/awesome-honeypotsAwesome Hacking - взлом и безопасность разных платформ, сети, веба, криптография, форензика и т.п.
https://github.com/carpedm20/awesome-hackingAwesome Malware Ananlysis - Анализ зловредов
https://github.com/rshipp/awesome-malware-analysisAwesome CTF - Capture The Flag
https://github.com/apsdehal/awesome-ctfAwesome Android security - утилиты и best practices мануалы по безопасности Андроида
https://github.com/ashishb/android-security-awesomeAwesome Car security - безопасность "умных" авто
https://github.com/jaredthecoder/awesome-vehicle-securityAwesome Web security - безопасность веб-приложений
https://github.com/qazbnm456/awesome-web-securityAwesome Raspberry Pi - сборник ресурсов по малине
https://github.com/thibmaek/awesome-raspberry-pi
Awesome Windows - софт, гайды, чит-листы
https://github.com/Awesome-Windows/AwesomeAwesome Linux - софт, гайды, чит-листы
https://github.com/aleksandar-todorovic/awesome-linuxAwesome iOS - софт, гайды, чит-листы
https://github.com/vsouza/awesome-iosAwesome Android - софт, гайды, чит-листы
https://github.com/JStumpp/awesome-androidAwesome Pentest - сборник ресурсов по пентесту и аудиту систем
https://github.com/enaqx/awesome-pentestИна сладкое - список фильмов, так или иначе связанных с IT
https://github.com/k4m4/movies-for-hackers
SecuriXy.kz
Photo
POC - Apache 2.4 - CVE-2019-0211
Разработчик Чарльз Фол (Charles Fol) разместил на портале GitHub PoC-код для обнаруженной им уязвимости Carpe Diem (CVE-2019-0211) в Apache HTTP Server 2.4, позволяющей при определенных обстоятельствах выполнить код с правами суперпользователя и перехватить управление сервером.
В сопроводительном комментарии Фол пояснил, что код представляет собой нечто среднее между демонстрационным PoC и полноценным эксплоитом и предназначен в том числе для образовательных целей. Хотя опубликованный код, по словам инженера, может не сработать по ряду причин, с его помощью злоумышленники могут создать рабочий эксплоит, поэтому администраторам (особенно сервисов совместного web-хостинга) рекомендуется как можно скорее установить версию Apache HTTP Server v2.4.39, устраняющую указанную уязвимость, а также ряд других проблем.
CVE-2019-0211 затрагивает только версию Apache HTTP Server для Unix-систем. Разработчики Debian, SuSE, Ubuntu и cPanel уже выпустили корректирующие обновления. Для FreeBSD опубликовано соответствующее предупреждение, однако патч пока недоступен.
Скопируйте эту ссылку и вставьте в Telegram
Разработчик Чарльз Фол (Charles Fol) разместил на портале GitHub PoC-код для обнаруженной им уязвимости Carpe Diem (CVE-2019-0211) в Apache HTTP Server 2.4, позволяющей при определенных обстоятельствах выполнить код с правами суперпользователя и перехватить управление сервером.
В сопроводительном комментарии Фол пояснил, что код представляет собой нечто среднее между демонстрационным PoC и полноценным эксплоитом и предназначен в том числе для образовательных целей. Хотя опубликованный код, по словам инженера, может не сработать по ряду причин, с его помощью злоумышленники могут создать рабочий эксплоит, поэтому администраторам (особенно сервисов совместного web-хостинга) рекомендуется как можно скорее установить версию Apache HTTP Server v2.4.39, устраняющую указанную уязвимость, а также ряд других проблем.
CVE-2019-0211 затрагивает только версию Apache HTTP Server для Unix-систем. Разработчики Debian, SuSE, Ubuntu и cPanel уже выпустили корректирующие обновления. Для FreeBSD опубликовано соответствующее предупреждение, однако патч пока недоступен.
Скопируйте эту ссылку и вставьте в Telegram
GitHub
exploits/CVE-2019-0211-apache at master · cfreal/exploits
Some of my exploits. Contribute to cfreal/exploits development by creating an account on GitHub.
SecuriXy.kz
Photo
Microsoft Windows - 0Day
В рамках апрельского «вторника исправлений» компания Microsoft выпустила пакет обновлений, устраняющих в общей сложности 74 бага, включая две уязвимости нулевого дня, в различных продуктах. В минувшем месяце производитель также исправил две уязвимости в Windows, активно атакуемые злоумышленниками.
Обе «свежие» проблемы (CVE-2019-0803 и CVE-2019-0859) представляют собой уязвимости повышения привилегий, затрагивающие компонент Win32k. Согласно описанию Microsoft, баг существует в связи с некорректной обработкой объектов в памяти, а его эксплуатация позволяет выполнить код в режиме ядра. В результате злоумышленник получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами и т.д. Для эксплуатации уязвимости атакующий должен авторизоваться в системе и запустить вредоносное приложение.
В каких именно атаках используются вышеуказанные уязвимости, компания не сообщила.
В числе прочих производитель устранил ряд критических уязвимостей в различных компонентах, в частности, CVE-2019-0824, CVE-2019-0825 и CVE-2019-0827 в СУБД Microsoft Access и CVE-2019-0853 в компоненте Windows GDI+. С полным списком исправленных проблем можно ознакомиться здесь.
Взято ©: https://www.securitylab.ru
Скопируйте эту ссылку и вставьте в Telegram
В рамках апрельского «вторника исправлений» компания Microsoft выпустила пакет обновлений, устраняющих в общей сложности 74 бага, включая две уязвимости нулевого дня, в различных продуктах. В минувшем месяце производитель также исправил две уязвимости в Windows, активно атакуемые злоумышленниками.
Обе «свежие» проблемы (CVE-2019-0803 и CVE-2019-0859) представляют собой уязвимости повышения привилегий, затрагивающие компонент Win32k. Согласно описанию Microsoft, баг существует в связи с некорректной обработкой объектов в памяти, а его эксплуатация позволяет выполнить код в режиме ядра. В результате злоумышленник получит возможность устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами и т.д. Для эксплуатации уязвимости атакующий должен авторизоваться в системе и запустить вредоносное приложение.
В каких именно атаках используются вышеуказанные уязвимости, компания не сообщила.
В числе прочих производитель устранил ряд критических уязвимостей в различных компонентах, в частности, CVE-2019-0824, CVE-2019-0825 и CVE-2019-0827 в СУБД Microsoft Access и CVE-2019-0853 в компоненте Windows GDI+. С полным списком исправленных проблем можно ознакомиться здесь.
Взято ©: https://www.securitylab.ru
Скопируйте эту ссылку и вставьте в Telegram
www.securitylab.ru
Microsoft устранила две 0Day-уязвимости в Windows
Microsoft исправила 64 уязвимости в своих продуктах, в том числе 26 критических.
SecuriXy.kz
Photo
POC – новые эксплоиты для Windows от SandboxEscaper
За последние три дня SandboxEscaper уже обнародовала три эксплоита для привеска Windows. Качайте...
За последние три дня SandboxEscaper уже обнародовала три эксплоита для привеска Windows. Качайте...
SecuriXy.kz
Photo
Безопасники Казахстана встретятся в Алма-Ате и Нур-Султане на Коде ИБ в начале лета
Ближайшие конференции по ИБ 2019...
Ближайшие конференции по ИБ 2019...
SecuriXy.kz
Photo
Колл-центры Банков запрашивают у клиентов коды из SMS-сообщений для аутентификации
Привычка сотрудников банков запрашивать у клиентов коды из полученных ими SMS-сообщений может обернуться кражей средств со счетов.
Как сообщает издание «КоммерсантЪ», для аутентификации пользователей сотрудники российских банков все чаще запрашивают коды из SMS-сообщений.
В самих финорганизациях подобную процедуру считают безопасной, поскольку в сообщениях указано, какие коды можно называть, а какие нет.
Тем не менее, ИБ-эксперты видят здесь возможности для мошенничества. По словам специалистов, клиенты могут привыкнуть к тому, что сообщать присланные им в сообщениях коды сотрудникам банка является нормой. Люди считают, будто код нужен для проведения банковской операции и не задумываются о возможных рисках. Обычно финорганизации присылают клиентам коды в SMS-сообщениях для подтверждения списания денежных средств. Сообщать их кому-либо, в том числе банковским сотрудникам, нельзя.
Некоторые финорганизации отправляют клиентам коды, которые нужно сообщать сотрудникам в офисе для обеспечения безопасности таких операций, как подключение автоплатежей, досрочное погашение кредитов и пр. В частности, это практикуется в МКБ, ВТБ и банке «Открытие». Тем не менее, в некоторых финорганизациях коды запрашивают работники колл-центров для аутентификации пользователей, и считают это вполне безопасным.
ИБ-эксперты настоятельно рекомендуют отказаться от вышеупомянутой практики. По их мнению, пользователи могут привыкнуть к тому, что сообщать коды, в том числе строго конфиденциальные, можно и нужно. Этим могут воспользоваться мошенники, которые могут звонить жертвам от имени банков, запрашивать секретные коды для подтверждения денежных транзакций и похищать деньги с их счетов.
Взято ©: https://www.securitylab.ruСкопируйте эту ссылку и вставьте в Telegram
Привычка сотрудников банков запрашивать у клиентов коды из полученных ими SMS-сообщений может обернуться кражей средств со счетов.
Как сообщает издание «КоммерсантЪ», для аутентификации пользователей сотрудники российских банков все чаще запрашивают коды из SMS-сообщений.
В самих финорганизациях подобную процедуру считают безопасной, поскольку в сообщениях указано, какие коды можно называть, а какие нет.
Тем не менее, ИБ-эксперты видят здесь возможности для мошенничества. По словам специалистов, клиенты могут привыкнуть к тому, что сообщать присланные им в сообщениях коды сотрудникам банка является нормой. Люди считают, будто код нужен для проведения банковской операции и не задумываются о возможных рисках. Обычно финорганизации присылают клиентам коды в SMS-сообщениях для подтверждения списания денежных средств. Сообщать их кому-либо, в том числе банковским сотрудникам, нельзя.
Некоторые финорганизации отправляют клиентам коды, которые нужно сообщать сотрудникам в офисе для обеспечения безопасности таких операций, как подключение автоплатежей, досрочное погашение кредитов и пр. В частности, это практикуется в МКБ, ВТБ и банке «Открытие». Тем не менее, в некоторых финорганизациях коды запрашивают работники колл-центров для аутентификации пользователей, и считают это вполне безопасным.
ИБ-эксперты настоятельно рекомендуют отказаться от вышеупомянутой практики. По их мнению, пользователи могут привыкнуть к тому, что сообщать коды, в том числе строго конфиденциальные, можно и нужно. Этим могут воспользоваться мошенники, которые могут звонить жертвам от имени банков, запрашивать секретные коды для подтверждения денежных транзакций и похищать деньги с их счетов.
Взято ©: https://www.securitylab.ruСкопируйте эту ссылку и вставьте в Telegram
www.securitylab.ru
Колл-центры банков запрашивают у клиентов коды из SMS-сообщений для аутентификации
Подобная практика может сформировать небезопасные шаблоны поведения, способные привести к потере денег, уверены эксперты
SecuriXy.kz
Photo
Ежегодный форум ИБ – PHDays 2019 завершился
Читайте наш обзор хакерского противостояния на PHDays 2019...
Читайте наш обзор хакерского противостояния на PHDays 2019...