Сегодня делимся с вами ресурсом по изучению безопасности API - Apisec University.
Здесь вы найдёте курсы с полезной инфой об уязвимостях API, начиная с OWASP API Top 10 и заканчивая уязвимостями в LLM и NLP.
Помимо материала для атакующих, есть также курсы, которые обучают обустраивать безопасность в API.
Всего на ресурсе 15 бесплатных курсов. Если вам интересна безопасность API, то обязательно ознакомьтесь с материалом.
#Pentest #DevSecOps #AppSec
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Здесь вы найдёте курсы с полезной инфой об уязвимостях API, начиная с OWASP API Top 10 и заканчивая уязвимостями в LLM и NLP.
Помимо материала для атакующих, есть также курсы, которые обучают обустраивать безопасность в API.
Всего на ресурсе 15 бесплатных курсов. Если вам интересна безопасность API, то обязательно ознакомьтесь с материалом.
#Pentest #DevSecOps #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🔥5⚡2
А вот и доклады с оффзона подъехали.
Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию
Запасаемся чаем со сладостями и приятного вам просмотра!
#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Посмотреть можно как на ютубе, так и в вк. Ещё на сайте оффзона для каждого доклада можно скачать презентацию
Запасаемся чаем со сладостями и приятного вам просмотра!
#AI #AppSec #Pentest #BaseSecurity #DevSecOps #SOC #SecArch
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥4⚡2
Сегодня понедельник, а значит что? Правильно - лучшие статьи прошедшей недели.
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с улучшения защиты вашей системы. Первая статья рассказывает о том, как защитить ваш веб-сайт от ботов, которые создают большую нагрузку и нагружают вашу систему.
После улучшения веба идём работать с инфрой - защитим Kubernetes на уровне ядра Linux. Далее у нас остаются ещё домены AD, которые тоже не помешало бы обезопасить. В этом нам помогут две статьи - Повышение защищённости Active Directory часть 1 и часть 2 (Да, первая часть вышла в апреле, но кто начинает смотреть сиквел без просмотра оригинала?).
Что ж, над защитой поработали, теперь время порадовать и ребят из красной команды. Держите разборы кейсов с багбаунти:
1) баг с использованием NULL в имени пользователя;
2) статья о том, как придумать интересный вектор атаки для обычного IDOR и повысить его в глазах триажеров.
Ещё хотелось бы поделиться обделённой вниманием статьёй с разбором атаки gadget chain, приводящей к RCE.
Далее у нас довольно подробный разбор техник разведки в MITRE ATT&CK.
Ну и под конец немного практики - создаём личный OSINT-комбайн на основе Google Sheets.
#Pentest #AppSec #DevSecOps #SecArch #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3👍1🍌1
Понедельник - день тяжелый, так что не помешает немного расслабиться за чашечкой чая и почитать интересные статьи прошедшей недели.
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
🧠 Пакет Знаний | 👨🏫 Менторство
📂 Другие каналы
Начнём с чего-то простого. Статья о взломе подарочного сертификата вдохновит вас на мысли о том, что уязвимости могут быть даже в самых простых системах.
Следующая статья расскажет о случаях безопасности протокола HTTP, которые нужно учитывать при разработке API. Полезно будет почитать как разработчикам, так и пентестерам.
Далее у нас идёт статья для синей команды - шпаргалка по Linux для DFIR.
Затем забираем себе подборку руководств и книг по DevSecOps.
Ну и закончим на сегодня объёмным и интересным разбором (буквально) POS-терминала.
Хорошего вам дня и продуктивной недели!
#AppSec #Pentest #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍4⚡1
Давно не было рабочих понедельников, примерно столько же не было и постов про статьи прошедшей недели - исправляемся.
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начинаем нашу подборку со статьи по безопасной настройке Kubernetes. В тексте приводятся рекомендации из стандарта CIS Kubernetes Benchmark по обустройству безопасных кластеров k8s. Также автор вкратце обозревает и другие гайдлайны (NSA/CISA, STIG, Модель 4С’s).
Далее у нас практический гайд по проектированию безопасной архитектуры. Автор выделил основные элементы безопасной инфраструктуры (выделенные и облачные серверы, межсетевой экран, сервисы и т.д.) и разобрал каждый из них.
От синей команды плавно перейдём к красной. Крайне важная статья для новичков-пентестеров (да и не только для новичков, в общем-то), в которой показываются последствия использования незнакомых эксплойтов и инструментов при проведении тестирования.
Ну и под конец у нас две информативные статьи:
- Разбор OWASP TOP 10 Machine Learning Security. В статье рассматривается каждый пункт этого топа и приводятся рекомендации по предотвращению описанных уязвимостей.
- Ну и так как у нас относительно недавно закончился октябрь, то держите подборку опасных уязвимостей прошедшего месяца.
#AppSec #DevSecOps #Pentest #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤4🏆2🫡1
Всем привет! Понедельник в этот раз не примечательный, зато статьи интересные!
На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.
Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.
Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.
Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.
#Pentest #DevSecOps #AI
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
На прошлой недели вышло аж две статьи от PT на тему взлома банкоматов. Первый текст посвящён устройству банкоматов и типам атак на них. Во второй статье авторы рассказывают про логические атаки на банкоматы.
Далее у нас статья от инженера Kubernetes про User Namespaces в (как неожиданно) Kubernetes. В тексте рассказывается про новую фичу k8s, которая защищает от большого количества критических уязвимостей.
Не отходя далеко от инфраструктуры, углубимся в защиту от атак, связанных с шифрованием и удалением данных. И поможет нам в этом ультимативный гайд от Bi.Zone.
Ну и под конец узнаем о десяти ключевых угрозах для ИИ-агентов. Подробнее в данной статье.
#Pentest #DevSecOps #AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🕊1
Начинаем рабочую неделю с традиционного чтения лучших статей прошедшей недели.
• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.
• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.
• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.
• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.
• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.
#DevSecOps #Pentest #AppSec #API
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
• Первая статья посвящена настройке Nginx для защиты от DDoS атак. В тексте описаны простые в реализации способы для защиты вашего веб-сервера.
• Далее у нас идёт статья с типовыми атаками на Kerberos. Будет полезно ознакомиться новичкам, которым интересен инфраструктурный пентест.
• Не отходя далеко от красной команды, рекомендуем ознакомиться со статьёй о том, как перестать быть зависимым от Burp Suite и стать счастливым вместе с Caido. Автор текста имеет опыт более пяти лет использования бурпа. В статье он описывает о проблемах Burp Suite и про опыт использования Caido.
• Ну и напоследок у нас две огромные технические статьи. Первая посвящена разбору браузерных песочниц и изоляции в JavaScript. В тексте рассказывается о разных архитектурных подходах к изоляции кода. Очень полезно почитать если вам интересно, как происходит произвольное выполнение кода в браузере и какие инструменты защиты используются для противодействия этой уязвимости.
• Последняя статья посвящена разбору API Gateway. В ней рассматриваются различные подходы к построению безопасной API архитектуры. Также в статье затрагивается тема ограничения области действия access token и опасности использования единого токена для доступа к любым API ресурсам.
#DevSecOps #Pentest #AppSec #API
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥2🤝2🕊1
Всем привет! Встречаем последний месяц в году традиционным дайджестом по лучшим статьям прошедшей недели. Заваривайте горячий какао и знакомьтесь с полезными материалами.
Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.
Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.
Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.
Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.
И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.
#Pentest #AppSec #AI #DevSecOps
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
Начнём с объёмной статьи от Alfa-Tech по основам безопасности веб-приложений. Автор на примере общедоступных ресурсов для тестирования знакомит читателей с основными техниками по пентесту веб-приложений.
Не отходя далеко от эксплуатации уязвимостей, делимся с вами подробным разбором уязвимости CVE-2024-31982, которая приводит к удалённому выполнению кода.
Сегодня у нас практически все статьи про тестирование, так что для разнообразия в середину поставим статью про предотвращение CSRF атак без использования токенов.
Далее идёт статья про безопасность AI. Автор рассказывает про атаки и базовые методы защиты от описанных атак.
И напоследок у нас текст про тестирование Nginx. В статье автор делится полезными инструментами как для проверки конфигурации на корректность, так и для тестирования непосредственно безопасности веб-сервера.
#Pentest #AppSec #AI #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏2🕊1
Кстати, что-то совсем забыл. Ловите красивые схемки, которые я когда-то подрезал из доклада (вроде как) Нияза Кашапова. Оно кстати не только красивое, но и полезное для того, чтобы сравнить "как у вас" и "как надо".
#DevSecOps #BaseSecurity
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
#DevSecOps #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤3👍3
Делимся с вами относительно свежей платформой с лабами для красной и синей команды - Infinity Learning
В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs
На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.
Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.
#Pentest #AppSec #DevSecOps #AI #Practice
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
В ней вы найдете лабы на следующие темы:
- AI Security
- Cloud Security
- DevOps Security
- Kubernetes Security
- On-Premise Security (внутренняя инфраструктура)
- APT Labs
На платформе сейчас 139 лаб, около 50-ти из них бесплатные. В основном бесплатные лабы касаются облачной безопасности. Для любителей кубера будет небольшое разочарование, так как все задания по этой теме платные.
Платформе всего около полутра лет и новые лабы там появляются регулярно, советую ознакомиться.
#Pentest #AppSec #DevSecOps #AI #Practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍3
Недопустимое событие.
Принесли сегодня простую игру, в которой предстоит построить и защитить свою инфраструктуру от атак. При этом необходимо поглядывать на бюджет и репутацию.
Разминаемся по ссылке.
#Network #Practice #DevSecOps
🧠 ПЗ | 👨🏫 Менторство ИБ
📂 Другие каналы
Принесли сегодня простую игру, в которой предстоит построить и защитить свою инфраструктуру от атак. При этом необходимо поглядывать на бюджет и репутацию.
Разминаемся по ссылке.
#Network #Practice #DevSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍6💋3❤1