This media is not supported in your browser
VIEW IN TELEGRAM
COSIC researchers hack Tesla Model X key fob
COSIC researchers Lennert Wouters, Benedikt Gierlichs and Bart Preneel have managed to hack into the keyless entry system of the Tesla Model X. Earlier they already successfully hacked into the Tesla Model S.
The battery powered Tesla Model X (priced at over $100.000) can be stolen in a few minutes by rewriting the firmware of a key fob via Bluetooth connection.
❗️ResearchGate
See also:
➡️ StarLink hacked (Habr)
➡️ Mercedes-Benz firmware security research
#AppSec #pentest #celebrety
COSIC researchers Lennert Wouters, Benedikt Gierlichs and Bart Preneel have managed to hack into the keyless entry system of the Tesla Model X. Earlier they already successfully hacked into the Tesla Model S.
The battery powered Tesla Model X (priced at over $100.000) can be stolen in a few minutes by rewriting the firmware of a key fob via Bluetooth connection.
❗️ResearchGate
See also:
#AppSec #pentest #celebrety
Please open Telegram to view this post
VIEW IN TELEGRAM
Veracode Security Labs
Improve secure coding skills in real-time with hands-on exercises in a safe environment, focusing on quick vulnerability fixes to reduce security debt
Veracode Security Labs Community Edition is our forever-free option for developers who want to gain knowledge about the latest security topics. Developers can get real-world practice with vulnerability scenarios in modern web applications by providing containerized apps they can exploit and patch right from their browser
❗️YouTube
The Vendor:
📌 Official page
📌 About Community Edition
📌 GitHub
#AppSec #Coding
Improve secure coding skills in real-time with hands-on exercises in a safe environment, focusing on quick vulnerability fixes to reduce security debt
Veracode Security Labs Community Edition is our forever-free option for developers who want to gain knowledge about the latest security topics. Developers can get real-world practice with vulnerability scenarios in modern web applications by providing containerized apps they can exploit and patch right from their browser
❗️YouTube
The Vendor:
📌 Official page
📌 About Community Edition
📌 GitHub
#AppSec #Coding
Software Architecture Security - The Complete Guide by Memi Lavi, 2024
Become a better Software Architect by designing secure systems
You, as as software architect, has the responsibility to make sure your architecture is as secure as possible. You simply cannot allow yourself to release a system that is not secure. These days, it's simply unacceptable. Now, in order to design secure architecture, you must be well versed in all security aspects of software design.
And this is exactly what this course is for.
This course will teach you all you need to know, as an architect, regarding software security. When completing the course, you'll have the necessary knowledge to design secure architecture.
❗️Official page
#education #AppSec #architecture
Become a better Software Architect by designing secure systems
You, as as software architect, has the responsibility to make sure your architecture is as secure as possible. You simply cannot allow yourself to release a system that is not secure. These days, it's simply unacceptable. Now, in order to design secure architecture, you must be well versed in all security aspects of software design.
And this is exactly what this course is for.
This course will teach you all you need to know, as an architect, regarding software security. When completing the course, you'll have the necessary knowledge to design secure architecture.
❗️Official page
#education #AppSec #architecture
This media is not supported in your browser
VIEW IN TELEGRAM
Сцена из французского фильма "Черный ящик" (2021) демонстрирующая фатальные последствия вмешательства хакера в бортовую систему управления новейшего авиалайнера
Матьё Вассер — акустик Бюро по расследованию и анализу безопасности гражданской авиации (BEA). Он женат на Ноэми, которая (в начале фильма) работает там же, в отделе сертификации самолётов. Они оба выпускники ENAC. BEA отвечает за расследование авиакатастрофы: крушения рейса Дубай–Париж в Беллево в Верхней Савойе. На борту самолёта находились 300 человек и 16 членов экипажа, никто не выжил.
Сначала он рассматривает предположение о технической неисправности устройства, препятствующего сваливанию самолета. Однако, странные помехи на аудиозаписи с чёрного ящика наводят Матьё на мысль о взломе компьютерных сетей самолёта. Он начинает подозревать Ксавье Рено, руководителя компании Pegase Security, разрабатывающей эти компьютерные системы, в заговоре с пропавшим аналитиком Виктором Поллоком. Вскоре Матьё находит настоящую запись с чёрного ящика. Запись подтверждает догадки Матьё, он понимает, что неудачная попытка взлома сетей самолета известным исследователем кибербезопасности Дэвидом Келлером привела к отказу управления и последующему крушению лайнера.
📌 Вики
📌 Кинопоиск
📌 Подробности о фильме
Факты:
❗️ Airbus App Vulnerability Introduced Aircraft Safety Risk
❗️ Aircraft Cyber Attack
❗️ How To Hijack An Airplane With Android
❗️ Aviation Cybersecurity: Scoping the Challenge (PDF)
#AppSec
Матьё Вассер — акустик Бюро по расследованию и анализу безопасности гражданской авиации (BEA). Он женат на Ноэми, которая (в начале фильма) работает там же, в отделе сертификации самолётов. Они оба выпускники ENAC. BEA отвечает за расследование авиакатастрофы: крушения рейса Дубай–Париж в Беллево в Верхней Савойе. На борту самолёта находились 300 человек и 16 членов экипажа, никто не выжил.
Сначала он рассматривает предположение о технической неисправности устройства, препятствующего сваливанию самолета. Однако, странные помехи на аудиозаписи с чёрного ящика наводят Матьё на мысль о взломе компьютерных сетей самолёта. Он начинает подозревать Ксавье Рено, руководителя компании Pegase Security, разрабатывающей эти компьютерные системы, в заговоре с пропавшим аналитиком Виктором Поллоком. Вскоре Матьё находит настоящую запись с чёрного ящика. Запись подтверждает догадки Матьё, он понимает, что неудачная попытка взлома сетей самолета известным исследователем кибербезопасности Дэвидом Келлером привела к отказу управления и последующему крушению лайнера.
📌 Вики
📌 Кинопоиск
📌 Подробности о фильме
Факты:
❗️ Airbus App Vulnerability Introduced Aircraft Safety Risk
❗️ Aircraft Cyber Attack
❗️ How To Hijack An Airplane With Android
❗️ Aviation Cybersecurity: Scoping the Challenge (PDF)
#AppSec
Spring Security в действии, Спилкэ Лауренциу, 2025
Spring Security значительно упрощает защиту корпоративных приложений, разработанных на Java. Этот мощный фреймворк идеально интегрируется с приложениями Spring, обеспечивая защиту с первых шагов проекта и предоставляя готовые к использованию функции, которые помогут вам реализовать надежную авторизацию и аутентификацию, а также защитить от кражи данных и вторжений.
Как и все остальное в экосистеме Spring, этот фреймворк бесплатен, имеет открытый исходный код и поддерживается замечательной командой VMWare.
Понятные объяснения и наглядные примеры научат вас создавать собственные серверы авторизации, настраивать защищенные конечные точки и предотвращать атаки с использованием межсайтового скриптинга и подделки запросов.
Рассматриваемые темы:
📌 собственные классы аутентификации и авторизации;
📌 конфигурации CRSF и CORS;
📌 подробное описание OAuth2/ OpenID Connect;
📌 безопасные реактивные приложения Spring;
📌 написание тестов для конфигураций безопасности;
📌 настройки безопасности с использованием нового фильтра Security-FilterChain.
Издание адресовано программистам Java и Spring.
#book #coding #AppSec
Spring Security значительно упрощает защиту корпоративных приложений, разработанных на Java. Этот мощный фреймворк идеально интегрируется с приложениями Spring, обеспечивая защиту с первых шагов проекта и предоставляя готовые к использованию функции, которые помогут вам реализовать надежную авторизацию и аутентификацию, а также защитить от кражи данных и вторжений.
Как и все остальное в экосистеме Spring, этот фреймворк бесплатен, имеет открытый исходный код и поддерживается замечательной командой VMWare.
Понятные объяснения и наглядные примеры научат вас создавать собственные серверы авторизации, настраивать защищенные конечные точки и предотвращать атаки с использованием межсайтового скриптинга и подделки запросов.
Рассматриваемые темы:
📌 собственные классы аутентификации и авторизации;
📌 конфигурации CRSF и CORS;
📌 подробное описание OAuth2/ OpenID Connect;
📌 безопасные реактивные приложения Spring;
📌 написание тестов для конфигураций безопасности;
📌 настройки безопасности с использованием нового фильтра Security-FilterChain.
Издание адресовано программистам Java и Spring.
#book #coding #AppSec
Attacking Golang
Golang (or Go) is a statically typed, compiled programming language designed at Google. It is known for its simplicity, efficiency, and strong performance. However, like any programming language, improper coding practices in Go can lead to security vulnerabilities.
This article explores common security issues and how to mitigate them in Go.
• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.
#AppSec #coding
Golang (or Go) is a statically typed, compiled programming language designed at Google. It is known for its simplicity, efficiency, and strong performance. However, like any programming language, improper coding practices in Go can lead to security vulnerabilities.
This article explores common security issues and how to mitigate them in Go.
• SQL Injection;
• Command Injection;
• Cross-Site Scripting (XSS);
• Insecure Deserialization;
• Directory Traversal;
• CSRF;
• SSRF;
• File Upload;
• Memory Management Vulnerabilities;
• Cryptography Failure;
• LFI and RFI;
• Basic Authentication (BasicAuth) alongside JSON Web Tokens (JWT);
• Golang pitfalls;
• RPC;
• Timing Attack.
#AppSec #coding
Embold Static Code Analysis Platform
Embold — статический анализатор кода, который необходим в любом процессе DevSecOps. Он позволяет управлять и контролировать качество проектов по разработке ПО.
Embold предоставляется бесплатно для проектов с открытым исходным кодом и доступен как локальное решение или как SaaS; в последнем случае все данные надежно хранятся в облаке, а связь между браузерами и инструментом шифруется с помощью SSL для обеспечения безопасности.
В рамках бесплатного пакета доступны 5 мест для пользователей и 5 сканирований кода объёмом до 50 тысяч строк.
❗️ Официальная страница
#AppSec #SecDevOps
Embold — статический анализатор кода, который необходим в любом процессе DevSecOps. Он позволяет управлять и контролировать качество проектов по разработке ПО.
Embold предоставляется бесплатно для проектов с открытым исходным кодом и доступен как локальное решение или как SaaS; в последнем случае все данные надежно хранятся в облаке, а связь между браузерами и инструментом шифруется с помощью SSL для обеспечения безопасности.
В рамках бесплатного пакета доступны 5 мест для пользователей и 5 сканирований кода объёмом до 50 тысяч строк.
❗️ Официальная страница
#AppSec #SecDevOps
Free courses on the Linux Foundation Education platform
The Open Source Security Foundation (OpenSSF) has developed free e-learning courses via Linux Foundation Education that provide digital badges on completion.
❗️All free courses
#education #AppSec
The Open Source Security Foundation (OpenSSF) has developed free e-learning courses via Linux Foundation Education that provide digital badges on completion.
❗️All free courses
#education #AppSec
Пример уязвимого (weak or security issue) кода на примере синтаксисов языков Python, Golang, TypeScript ошибок из классификатора OWASP top 10 - "Cryptographic Failures", "Vulnerable and Outdated Components"
Cryptographic Failures involve improper use of cryptography, while Vulnerable and Outdated Components refers to the use of third-party libraries or frameworks with known vulnerabilities or that are no longer supported
See also:
📌 Examples, And Testing Tips
#AppSec
Cryptographic Failures involve improper use of cryptography, while Vulnerable and Outdated Components refers to the use of third-party libraries or frameworks with known vulnerabilities or that are no longer supported
See also:
📌 Examples, And Testing Tips
#AppSec
OWASP Top 10 API: Полный разбор всех угроз и как от них защититься
Ваш API — "лакомый кусок" для хакеров. Ежегодно через уязвимости в интерфейсах приложений сливаются миллионы записей данных, а средний ущерб от инцидентов достигает $300–800 тыс. С ростом популярности REST, GraphQL и API-first архитектур риски только усиливаются: к 2030 году атаки через API прогнозируют рост на 996%
Готовы ли вы к обороне?
Прочитав статью, вы разберетесь:
✅ Что такое OWASP Top 10 API и почему этот список — must-know для разработчиков, DevOps и безопасников.
✅ Детальный разбор КАЖДОЙ из 10 ключевых угроз (2023): от Broken Object Level Authorization (BOLA) до Unsafe Consumption of APIs.
✅ Конкретные примеры эксплуатации: как хакеры используют уязвимости в реальных атаках.
🛑 Почему object-level authorization — #1 угроза и как она позволяет воровать чужие данные одной строчкой кода.
🛑 Опасные сценарии Mass Assignment: как злоумышленник может стать админом через форму регистрации.
🛑 Реальные кейсы взломов из-за SSRF, небезопасных конфигов CORS и "злых" токенов.
❗️Источник
Смотри еще:
⛳️ Перевод OWASP API Security Top 10
⛳️ Новые угрозы в OWASP API Security Top 10
#AppSec
Ваш API — "лакомый кусок" для хакеров. Ежегодно через уязвимости в интерфейсах приложений сливаются миллионы записей данных, а средний ущерб от инцидентов достигает $300–800 тыс. С ростом популярности REST, GraphQL и API-first архитектур риски только усиливаются: к 2030 году атаки через API прогнозируют рост на 996%
Готовы ли вы к обороне?
Прочитав статью, вы разберетесь:
✅ Что такое OWASP Top 10 API и почему этот список — must-know для разработчиков, DevOps и безопасников.
✅ Детальный разбор КАЖДОЙ из 10 ключевых угроз (2023): от Broken Object Level Authorization (BOLA) до Unsafe Consumption of APIs.
✅ Конкретные примеры эксплуатации: как хакеры используют уязвимости в реальных атаках.
🛑 Почему object-level authorization — #1 угроза и как она позволяет воровать чужие данные одной строчкой кода.
🛑 Опасные сценарии Mass Assignment: как злоумышленник может стать админом через форму регистрации.
🛑 Реальные кейсы взломов из-за SSRF, небезопасных конфигов CORS и "злых" токенов.
❗️Источник
Смотри еще:
⛳️ Перевод OWASP API Security Top 10
⛳️ Новые угрозы в OWASP API Security Top 10
#AppSec
Защита систем. Чему «Звездные войны» учат инженера ПО, Адам Шостак, 2025
Практическое руководство по написанию безопасных приложений с помощью опыта мастеров-джедаев из «Звездных войн».
Чему могут научить R2-D2, Дарт Вейдер, Хан Соло или даже Йода в плане безопасности программного обеспечения? В книге «Защита систем: чему „Звездные войны“ учат инженеров ПО» дан целый арсенал стратегий и методов защиты, которые применимы не только в фантастическом мире, но и в реальных работающих системах.
Что внутри:
✅ Легкость и польза: безопасный код приложений с использованием идей из вселенной «Звездных войн».
✅ Практические модели безопасности: STRIDE и защита от злоумышленников.
✅ Безопасность, удобство использования и быстрая доставка: увлекательная дорожная карта разработки современных приложений.
✅ Закономерности проблем безопасности и оптимальные решения.
Адам Шостак – профессор Школы компьютерных наук и инженерии при Вашингтонском университете, эксперт по моделированию веб-угроз, гейм-дизайнер и судебный консультант. Много лет он посвятил разработке безопасных продуктов и систем. В мире бизнеса диапазон его опыта охватывает самые разные области, от основания стартапов до почти десяти лет работы в Microsoft. Помимо консультирования и преподавания, Шостак выступает в качестве советника по безопасности многих компаний.
#book #AppSec
Практическое руководство по написанию безопасных приложений с помощью опыта мастеров-джедаев из «Звездных войн».
Чему могут научить R2-D2, Дарт Вейдер, Хан Соло или даже Йода в плане безопасности программного обеспечения? В книге «Защита систем: чему „Звездные войны“ учат инженеров ПО» дан целый арсенал стратегий и методов защиты, которые применимы не только в фантастическом мире, но и в реальных работающих системах.
Что внутри:
✅ Легкость и польза: безопасный код приложений с использованием идей из вселенной «Звездных войн».
✅ Практические модели безопасности: STRIDE и защита от злоумышленников.
✅ Безопасность, удобство использования и быстрая доставка: увлекательная дорожная карта разработки современных приложений.
✅ Закономерности проблем безопасности и оптимальные решения.
Адам Шостак – профессор Школы компьютерных наук и инженерии при Вашингтонском университете, эксперт по моделированию веб-угроз, гейм-дизайнер и судебный консультант. Много лет он посвятил разработке безопасных продуктов и систем. В мире бизнеса диапазон его опыта охватывает самые разные области, от основания стартапов до почти десяти лет работы в Microsoft. Помимо консультирования и преподавания, Шостак выступает в качестве советника по безопасности многих компаний.
#book #AppSec
❤5😁1
𝗦𝗲𝗰𝘂𝗿𝗲 𝗯𝘆 𝗗𝗲𝘀𝗶𝗴𝗻 - 𝗪𝗲𝗯 𝗦𝗲𝗿𝘃𝗶𝗰𝗲 & 𝗔𝗣𝗜 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 by DevSecOps Guides, 2025
𝗧𝗮𝗯𝗹𝗲 𝗼𝗳 𝗰𝗼𝗻𝘁𝗲𝗻𝘁:
🔴 𝗘𝗻𝗱-𝘁𝗼-𝗘𝗻𝗱 𝗘𝗻𝗰𝗿𝘆𝗽𝘁𝗶𝗼𝗻 HTTP exposure → SSL stripping → HSTS with preload → unbreakable TLS tunnels.
🔴 𝗢𝗔𝘂𝘁𝗵 𝟮.𝟬 & 𝗣𝗞𝗖𝗘 Auth code interception → malicious app replay → PKCE enforcement → no token without proof key.
🔴 𝗝𝗪𝗧 𝗟𝗶𝗳𝗲𝗰𝘆𝗰𝗹𝗲 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 HS256 secret theft → forged admin tokens → RS256 + short-lived tokens → revoked refresh tokens.
🔴 𝗠𝘂𝘁𝘂𝗮𝗹 𝗧𝗟𝗦 (𝗺𝗧𝗟𝗦) Stolen static API key → partner impersonation → client certificate auth → cryptographic identity.
🔴 𝗗𝗗𝗼𝗦 & 𝗥𝗮𝘁𝗲 𝗟𝗶𝗺𝗶𝘁𝗶𝗻𝗴 Naive IP limits → low-and-slow scraping → dynamic, user-aware throttling → edge WAF protection.
🔴 𝗜𝗻𝗽𝘂𝘁 𝗩𝗮𝗹𝗶𝗱𝗮𝘁𝗶𝗼𝗻 & 𝗢𝘂𝘁𝗽𝘂𝘁 𝗘𝗻𝗰𝗼𝗱𝗶𝗻𝗴 SQLi & XSS payloads → data exfiltration & session hijacking → parameterized queries & contextual encoding → neutralized threats.
🔴 𝗔𝗣𝗜 𝗚𝗮𝘁𝗲𝘄𝗮𝘆 & 𝗪𝗔𝗙 Inconsistent microservice security → finding the weakest link → centralized WAF at the gateway → uniform defense.
🔴 𝗦𝗲𝗰𝘂𝗿𝗲 𝗦𝗲𝘀𝘀𝗶𝗼𝗻 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 Cookie theft via XSS → session hijacking → HttpOnly, Secure, SameSite=Strict cookies → locked-down sessions.
🔴 𝗔𝗣𝗜 𝗩𝗲𝗿𝘀𝗶𝗼𝗻𝗶𝗻𝗴 & 𝗗𝗲𝗽𝗿𝗲𝗰𝗮𝘁𝗶𝗼𝗻 Zombie v1 API → exploiting old bugs → forced deprecation & brownouts → controlled demolition.
🔴 𝗕𝘂𝘀𝗶𝗻𝗲𝘀𝘀 𝗟𝗼𝗴𝗶𝗰 𝗙𝗹𝗮𝘄𝘀 Price tampering → checkout abuse → server-side re-validation → trust nothing from the client.
🔴 𝗦𝗲𝗿𝘃𝗶𝗰𝗲 𝗠𝗲𝘀𝗵 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 Lateral movement in-cluster → compromised pod escalates → zero-trust mTLS → granular authorization policies.
🔣 Web page
#AppSec
𝗧𝗮𝗯𝗹𝗲 𝗼𝗳 𝗰𝗼𝗻𝘁𝗲𝗻𝘁:
🔴 𝗘𝗻𝗱-𝘁𝗼-𝗘𝗻𝗱 𝗘𝗻𝗰𝗿𝘆𝗽𝘁𝗶𝗼𝗻 HTTP exposure → SSL stripping → HSTS with preload → unbreakable TLS tunnels.
🔴 𝗢𝗔𝘂𝘁𝗵 𝟮.𝟬 & 𝗣𝗞𝗖𝗘 Auth code interception → malicious app replay → PKCE enforcement → no token without proof key.
🔴 𝗝𝗪𝗧 𝗟𝗶𝗳𝗲𝗰𝘆𝗰𝗹𝗲 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 HS256 secret theft → forged admin tokens → RS256 + short-lived tokens → revoked refresh tokens.
🔴 𝗠𝘂𝘁𝘂𝗮𝗹 𝗧𝗟𝗦 (𝗺𝗧𝗟𝗦) Stolen static API key → partner impersonation → client certificate auth → cryptographic identity.
🔴 𝗗𝗗𝗼𝗦 & 𝗥𝗮𝘁𝗲 𝗟𝗶𝗺𝗶𝘁𝗶𝗻𝗴 Naive IP limits → low-and-slow scraping → dynamic, user-aware throttling → edge WAF protection.
🔴 𝗜𝗻𝗽𝘂𝘁 𝗩𝗮𝗹𝗶𝗱𝗮𝘁𝗶𝗼𝗻 & 𝗢𝘂𝘁𝗽𝘂𝘁 𝗘𝗻𝗰𝗼𝗱𝗶𝗻𝗴 SQLi & XSS payloads → data exfiltration & session hijacking → parameterized queries & contextual encoding → neutralized threats.
🔴 𝗔𝗣𝗜 𝗚𝗮𝘁𝗲𝘄𝗮𝘆 & 𝗪𝗔𝗙 Inconsistent microservice security → finding the weakest link → centralized WAF at the gateway → uniform defense.
🔴 𝗦𝗲𝗰𝘂𝗿𝗲 𝗦𝗲𝘀𝘀𝗶𝗼𝗻 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 Cookie theft via XSS → session hijacking → HttpOnly, Secure, SameSite=Strict cookies → locked-down sessions.
🔴 𝗔𝗣𝗜 𝗩𝗲𝗿𝘀𝗶𝗼𝗻𝗶𝗻𝗴 & 𝗗𝗲𝗽𝗿𝗲𝗰𝗮𝘁𝗶𝗼𝗻 Zombie v1 API → exploiting old bugs → forced deprecation & brownouts → controlled demolition.
🔴 𝗕𝘂𝘀𝗶𝗻𝗲𝘀𝘀 𝗟𝗼𝗴𝗶𝗰 𝗙𝗹𝗮𝘄𝘀 Price tampering → checkout abuse → server-side re-validation → trust nothing from the client.
🔴 𝗦𝗲𝗿𝘃𝗶𝗰𝗲 𝗠𝗲𝘀𝗵 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 Lateral movement in-cluster → compromised pod escalates → zero-trust mTLS → granular authorization policies.
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤6👍2😱1
Привет, парни! 👾 Сегодня новый челлендж - разбираемся в безопасности Java приложения на практике
В этом сэмпле кода рабочего приложения на Java спрятано 7 security issues. Ваша задача — найти их все, подробно описать и сделать это быстрее всех!
Три участника предложившие лучшее решение ждет один из призов - годовая TG Premium, 6 месяцев подписка на extra fast server для Outline, WireGuard, фирменная футболка ][акера, книги ИБ на русском языке изданные в 2025 году🏆 🏆
Сложность:⭐️ ⭐️
Категория: source code\SDLC
Команда: AppSec crew
📣 Условия:
👉 Срок предоставления решения - 24 часа с момента публикации поста (msk time zone)
👉 Ответы присылайте в w2hack direct или бот обратной связи
👉 Указывай тип уязвимости, номер строки кода, где нашел баг и краткое его объяснение
😒 Через 2 дня будет выложен салюшн к заданию и объявлены победители
💎 Критерии победы:
🛡 Найдены все 7 уязвимостей
🛡 Правильно указан тип проблемы, причина бага, предложен фикс
🛡 Ранние ответы (первые 3 часа после публикации поста) получают +1 балл в копилку победителя
📢 GitHub (w2haсk official repo)
⬇️ ⬇️ Полный исходный код на Java забирай ниже: ⬇️ ⬇️
(можно открыть как .TXT)
#AppSec #quiz
В этом сэмпле кода рабочего приложения на Java спрятано 7 security issues. Ваша задача — найти их все, подробно описать и сделать это быстрее всех!
Три участника предложившие лучшее решение ждет один из призов - годовая TG Premium, 6 месяцев подписка на extra fast server для Outline, WireGuard, фирменная футболка ][акера, книги ИБ на русском языке изданные в 2025 году
Сложность:
Категория: source code\SDLC
Команда: AppSec crew
import java.sql.*;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.io.*;
public class UserProfileService {
private static final String DB_URL = "jdbc:mysql://localhost:3306/test?useSSL=false";
private static final String DB_USER = "root";
private static final String DB_PASSWORD = "password123";
public void changePassword(String username, String newPassword) {
try {
String hashedPassword = hashPassword(newPassword);
String query = "UPDATE users SET password = '" + hashedPassword + "' WHERE username = '" + username + "'";
Connection conn = DriverManager.getConnection(DB_URL, DB_USER, DB_PASSWORD);
Statement stmt = conn.createStatement();
stmt.executeUpdate(query);
stmt.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
(можно открыть как .TXT)
#AppSec #quiz
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆5👍1😁1
The AppSec Ezine was born out of the need to curate contents concerning information security that otherwise one may find scattered across the web. Each edition covers a wide range of topics.
The AppSec Ezine is focussed on providing information about problems you should be aware of (old or new issues) and giving you an overview of the latest hot topics - curiosities that get you through your daily work or ignite your passion on the topic
❗️ Download
🔻 GitHub
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🙈4👍1👎1🔥1
Forwarded from CyberSecBastion
Java Spring Bug Hunter's Secure Coding Playbook (2025 Edition) by DevSecops Guides
Java Spring Security with SAST Arsenal from Semgrep to Claude
𝗧𝗮𝗯𝗹𝗲 𝗼𝗳 𝗰𝗼𝗻𝘁𝗲𝗻𝘁:
✅ Attack Vectors Covered:
✅ SQL Injection through Spring Data JPA dynamic queries
✅ Java Deserialization via Jackson's polymorphic typing
✅ LDAP Injection in Spring LDAP template queries
✅ XXE Attacks through XML parsers in Spring endpoints
✅ Path Traversal in Spring MVC file handling
✅ CSRF bypasses in Spring Security configurations
✅ SpEL Injection through Spring Expression Language
✅ Authentication bypasses in custom security filters
❗️Web
#AppSec
Java Spring Security with SAST Arsenal from Semgrep to Claude
𝗧𝗮𝗯𝗹𝗲 𝗼𝗳 𝗰𝗼𝗻𝘁𝗲𝗻𝘁:
✅ Attack Vectors Covered:
✅ SQL Injection through Spring Data JPA dynamic queries
✅ Java Deserialization via Jackson's polymorphic typing
✅ LDAP Injection in Spring LDAP template queries
✅ XXE Attacks through XML parsers in Spring endpoints
✅ Path Traversal in Spring MVC file handling
✅ CSRF bypasses in Spring Security configurations
✅ SpEL Injection through Spring Expression Language
✅ Authentication bypasses in custom security filters
❗️Web
#AppSec
👍5👏2🤝1
Forwarded from CyberSecBastion
Semgrep Playground - An online interactive tool for writing and sharing rules
Semgrep is a fast, open-source, static analysis tool that searches code, finds bugs, and enforces secure guardrails and coding standards. Semgrep supports 30+ languages and can run in an IDE, as a pre-commit check, and as part of CI/CD workflows.
❗️Playground
🔼 GitHub
#AppSec
Semgrep is a fast, open-source, static analysis tool that searches code, finds bugs, and enforces secure guardrails and coding standards. Semgrep supports 30+ languages and can run in an IDE, as a pre-commit check, and as part of CI/CD workflows.
❗️Playground
#AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2
Forwarded from CyberSecBastion
JWT Security – Complete Enterprise Implementation for Modern Apps 🛡
🔐 JWT Architecture & Design
• Header, payload, signature internals
• Secure use of alg, kid, and claim design
• Stateless vs session-based auth from a security lens
💣 Real-World Vulnerabilities
• Algorithm confusion (none, RS256→HS256) with full exploit + fix
• Key management pitfalls (weak secrets, kid path-traversal, JWKS abuse)
• Token storage risks (localStorage, extensions, XSS, supply-chain issues)
🧬 Secure Implementation Blueprint
• End-to-end JWT lifecycle: auth → issuance → storage → usage → refresh → revocation
• Device binding, replay detection, anomaly detection & rate limiting
• Production-ready JWT service with Redis, logging, metrics & audit trails
🛠 Code You Can Drop Into Your Stack
• Python & Node-style examples
• Secure header/payload builders
• Signature verification pipelines with strict algorithm whitelisting
• Key rotation strategy with kid and overlapping keys
#AppSec
🔐 JWT Architecture & Design
• Header, payload, signature internals
• Secure use of alg, kid, and claim design
• Stateless vs session-based auth from a security lens
💣 Real-World Vulnerabilities
• Algorithm confusion (none, RS256→HS256) with full exploit + fix
• Key management pitfalls (weak secrets, kid path-traversal, JWKS abuse)
• Token storage risks (localStorage, extensions, XSS, supply-chain issues)
🧬 Secure Implementation Blueprint
• End-to-end JWT lifecycle: auth → issuance → storage → usage → refresh → revocation
• Device binding, replay detection, anomaly detection & rate limiting
• Production-ready JWT service with Redis, logging, metrics & audit trails
🛠 Code You Can Drop Into Your Stack
• Python & Node-style examples
• Secure header/payload builders
• Signature verification pipelines with strict algorithm whitelisting
• Key rotation strategy with kid and overlapping keys
#AppSec
❤2
Forwarded from CyberSecBastion
Source Code Audit Scenarios, Hades, 2025
The document emphasizes the importance of addressing low and medium severity vulnerabilities as they can be exploited in combination to facilitate more significant attacks.
Additionally, it provides code snippets for fetching application and module data, visualizing vulnerabilities, and understanding related attack techniques.
🎯Source code audit scenarios describe the various situations in which an organization reviews and analyzes its software’s source code to detect vulnerabilities, insecure patterns, or non-compliance with coding standards. These scenarios often include audits during early development to identify flaws before they propagate; pre-release security reviews to catch high-risk issues that could impact production and post-incident investigations when a breach or malfunction suggests weaknesses within the code.
#AppSec
The document emphasizes the importance of addressing low and medium severity vulnerabilities as they can be exploited in combination to facilitate more significant attacks.
Additionally, it provides code snippets for fetching application and module data, visualizing vulnerabilities, and understanding related attack techniques.
🎯Source code audit scenarios describe the various situations in which an organization reviews and analyzes its software’s source code to detect vulnerabilities, insecure patterns, or non-compliance with coding standards. These scenarios often include audits during early development to identify flaws before they propagate; pre-release security reviews to catch high-risk issues that could impact production and post-incident investigations when a breach or malfunction suggests weaknesses within the code.
#AppSec
❤1
Forwarded from CyberSecBastion
Secure Coding Practices OWASP Based Checklist, 200+ Test Cases, 2025
I just reviewed one of the most complete Secure Coding Practice guides I’ve seen a 200+ test case, OWASP-aligned, multi-language blueprint that exposes how fragile most applications really are.
Here are the uncomfortable truths 👇
🔹 Input validation is still the #1 failure point.
Developers validate on the client, attackers bypass it in seconds.
🔹 Output encoding is misunderstood.
If your app doesn’t contextually encode everything leaving the trust boundary, you’re already vulnerable.
🔹 Authentication mistakes silently break entire systems.
Weak reset flows, missing MFA enforcement, predictable temp passwords all of them still happen in 2025.
🔹 Session management errors = instant account takeover.
No rotation, HttpOnly missing, insecure cookie scope… it’s a checklist of preventable breaches.
🔹 Access control is where most teams think they’re safe until they test it.
“Deny by default” is still not implemented in most products.
🔹 Cryptography is often used… but rarely used correctly.
Keys, RNGs, fallback mechanisms, FIPS compliance ignored more often than applied.
🔹 Logging reveals too much.
Most orgs are leaking sensitive info through logs without realizing it.
🔹 Data protection rules are broken on almost every modern app.
Caching, autocomplete, URL leakage, temporary file exposure… it’s everywhere.
This PDF turns all of that into a structured, practical, testable checklist that teams can adopt immediately whether you build in Java, C++, Python, JavaScript, Rust, or Go.
#AppSec
I just reviewed one of the most complete Secure Coding Practice guides I’ve seen a 200+ test case, OWASP-aligned, multi-language blueprint that exposes how fragile most applications really are.
Here are the uncomfortable truths 👇
🔹 Input validation is still the #1 failure point.
Developers validate on the client, attackers bypass it in seconds.
🔹 Output encoding is misunderstood.
If your app doesn’t contextually encode everything leaving the trust boundary, you’re already vulnerable.
🔹 Authentication mistakes silently break entire systems.
Weak reset flows, missing MFA enforcement, predictable temp passwords all of them still happen in 2025.
🔹 Session management errors = instant account takeover.
No rotation, HttpOnly missing, insecure cookie scope… it’s a checklist of preventable breaches.
🔹 Access control is where most teams think they’re safe until they test it.
“Deny by default” is still not implemented in most products.
🔹 Cryptography is often used… but rarely used correctly.
Keys, RNGs, fallback mechanisms, FIPS compliance ignored more often than applied.
🔹 Logging reveals too much.
Most orgs are leaking sensitive info through logs without realizing it.
🔹 Data protection rules are broken on almost every modern app.
Caching, autocomplete, URL leakage, temporary file exposure… it’s everywhere.
This PDF turns all of that into a structured, practical, testable checklist that teams can adopt immediately whether you build in Java, C++, Python, JavaScript, Rust, or Go.
#AppSec
❤5