• #Security Research.
• This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code.
• https://github.com/google/security-research
• This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code.
• https://github.com/google/security-research
GitHub
GitHub - google/security-research: This project hosts security advisories and their accompanying proof-of-concepts related to research…
This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code. - google/security-research
✍6👍3❤2
• Security Study Plan.
• A Practical Study Plan to become a successful cybersecurity engineer based on roles like Pentest, AppSec, Cloud Security, DevSecOps and so on with free/paid resources, tools and concepts to excel.
• Common Skills for Security Study Plan;
• AWS Security Study Plan;
• GCP Security Study Plan;
• Azure Security Study Plan;
• DevSecOps Study Plan;
• Docker Security Study Plan;
• Kubernetes Security Study Plan;
• Web Penetration Testing Study Plan;
• Application Security Testing Plan;
• API Security Study Plan;
• Network Security Study Plan.
• https://github.com/jassics/security-study-plan
#AppSec #Security #DevSecOps #Cloud
• A Practical Study Plan to become a successful cybersecurity engineer based on roles like Pentest, AppSec, Cloud Security, DevSecOps and so on with free/paid resources, tools and concepts to excel.
• Common Skills for Security Study Plan;
• AWS Security Study Plan;
• GCP Security Study Plan;
• Azure Security Study Plan;
• DevSecOps Study Plan;
• Docker Security Study Plan;
• Kubernetes Security Study Plan;
• Web Penetration Testing Study Plan;
• Application Security Testing Plan;
• API Security Study Plan;
• Network Security Study Plan.
• https://github.com/jassics/security-study-plan
#AppSec #Security #DevSecOps #Cloud
✍9🔥3❤2👍2
Forwarded from SHADOW:Group
На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта.
Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени.
- Жертва регается на сайте через свою почту.
- Заходим в Azure AD и меняем свою почту на почту жертвы.
- Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы.
Видео PoC
#web #ato #oauth
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
nOAuth | OAuth Implementation Flaw Affecting Azure AD OAuth Applications
nOAuth is an authentication implementation flaw that can affect Microsoft Azure AD multi-tenant OAuth applications. This demo video explains how the misconfiguration can lead to full account takeover and how to prevent it.
This blog on nOAuth has more details:…
This blog on nOAuth has more details:…
👍14❤3🤯2
• The Kubernetes Goat is designed to be an intentionally vulnerable cluster environment to learn and practice Kubernetes security;
• Sensitive keys in codebases;
• DIND (docker-in-docker) exploitation;
• SSRF in the Kubernetes (K8S) world;
• Container escape to the host system;
• Docker CIS benchmarks analysis;
• Kubernetes CIS benchmarks analysis;
• Attacking private registry;
• NodePort exposed services;
• Helm v2 tiller to PwN the cluster;
• Analyzing crypto miner container;
• Kubernetes namespaces bypass;
• Gaining environment information;
• DoS the Memory/CPU resources;
• Hacker container preview;
• Hidden in layers;
• RBAC least privileges misconfiguration;
• KubeAudit - Audit Kubernetes clusters;
• Falco - Runtime security monitoring & detection;
• Popeye - A Kubernetes cluster sanitizer;
• Secure network boundaries using NSP;
• Cilium Tetragon - eBPF-based Security Observability and Runtime Enforcement;
• Securing Kubernetes Clusters using Kyverno Policy Engine.
• https://github.com/madhuakula/kubernetes-goat
#Kubernetes #security
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - madhuakula/kubernetes-goat: Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes…
Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes security using an interactive hands-on playground 🚀 - madhuakula/kubernetes-goat
👍18❤5✍5
Информационная безопасность в облаке: с чего начать
• В 2023 году вышел Стандарт по защите облачной инфраструктуры от Yandex Cloud — с рекомендациями в области защиты данных. С помощью описанных мер и инструментов бизнес может обезопасить свои инфраструктуры и IT-системы.
• Рост потребления сервисов Security составил 3,4 раза (данные за первое полугодие текущего года), а пользователи выполнили уже более 1,5 млн сканирований своих IT-систем. Кроме того, в Yandex Cloud доступна SmartCaptcha, отражающая зловредный роботизированный трафик на сайтах компаний‑клиентов, составляющий в среднем 50% от общего объёма трафика.
• Ссылка: https://cloud.yandex.ru/docs/security/standard/all
#Security #RU
• В 2023 году вышел Стандарт по защите облачной инфраструктуры от Yandex Cloud — с рекомендациями в области защиты данных. С помощью описанных мер и инструментов бизнес может обезопасить свои инфраструктуры и IT-системы.
• Рост потребления сервисов Security составил 3,4 раза (данные за первое полугодие текущего года), а пользователи выполнили уже более 1,5 млн сканирований своих IT-систем. Кроме того, в Yandex Cloud доступна SmartCaptcha, отражающая зловредный роботизированный трафик на сайтах компаний‑клиентов, составляющий в среднем 50% от общего объёма трафика.
• Ссылка: https://cloud.yandex.ru/docs/security/standard/all
#Security #RU
👍18❤6👎3😁1
infosec
Photo
OWASP Top 10 API 2023.pdf
930.8 KB
• API1:2023 - Broken Object Level Authorization;
• API2:2023 - Broken Authentication;
• API3:2023 - Broken Object Property Level Authorization;
• API4:2023 - Unrestricted Resource Consumption;
• API5:2023 - Broken Function Level Authorization;
• API6:2023 - Unrestricted Access to Sensitive Business Flows;
• API7:2023 - Server Side Request Forgery;
• API8:2023 - Security Misconfiguration;
• API9:2023 - Improper Inventory Management;
• API10:2023 - Unsafe Consumption of APIs.
#DevSecOps #Security #API
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥8⚡4👎1👏1
• Наглядные примеры построения SSH туннелей для решения различных задач: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/
• Дополнительно: Визуальное руководство по туннелям SSH.
#SSH #security
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥9👍4⚡1🤩1
• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍65
• Объемное руководство по безопасной настройке Docker. Материал является актуальным на 2024 год и содержит огромное кол-во информации. Будет полезно начинающим и опытным специалистам.
• Prerequisites;
• Secure configuration;
• Docker Host;
- Working Environment;
- Configuration audit;
- Lynis;
- Docker Bench for Security;
• Docker Daemon;
- Access control to Docker Daemon;
- Securing docker.sock;
- Granting and revoking permissions;
- Avoiding privileged mode;
- Access to devices;
- Blocking the ability to “granting” (acquiring) permissions;
- Privilege escalation and Linux namespaces;
- Rootless mode;
- Container communication (container isolation);
- Read-only mode;
- Resource utilization control;
- Connecting to a remote Docker Daemon;
- Event logging;
• Containers Security;
- Selecting the Right Image;
- Docker Content Trust (DCT);
- Using your own images;
- Docker build and URL;
- “latest” tag;
- USER command;
- Force UID;
- .dockerignore;
• Automatic images scanning;
- Trivy;
- Docker Scout;
• AppArmor;
• Seccomp;
• SELinux;
• The final piece of the puzzle – application security;
• Docker Desktop Security;
• Updating Software;
• Additional sources of knowledge – where to find information about; vulnerabilities;
• History of Changes.
#Docker #Security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🔥13
• Shufflecake: plausible deniability for multiple hidden filesystems on Linux — инструмент для создания скрытых и зашифрованных разделов на диске, которые остаются не заметны даже при соответствующей экспертизе.
#Linux #Security
Please open Telegram to view this post
VIEW IN TELEGRAM
Codeberg.org
shufflecake-c
Full C implementation of Shufflecake. Shufflecake is a plausible deniability (hidden storage) layer for Linux.
👍19🤔7
🔑 A Compendium of Access Control on Unix-Like OSes.
• Вероятно, что это самое объемное руководство о контроле доступов в разных ОС (оглавление на скриншотах выше): https://venam.net/blog/unix/2023/02/28/access_control.html
• PDF версия: https://venam.net/blog/pdf/access_control/access_control.pdf
#security
• Вероятно, что это самое объемное руководство о контроле доступов в разных ОС (оглавление на скриншотах выше): https://venam.net/blog/unix/2023/02/28/access_control.html
• PDF версия: https://venam.net/blog/pdf/access_control/access_control.pdf
#security
👍20🔥8
• Держите бесплатную книгу по SELinux, цель которой — стать самой актуальной и всеобъемлющей книгой охватывающей компоненты ядра Linux, библиотеки, инструменты, политики и т.д.
• Abbreviations and Terminology;
• SELinux Overview;
• Core Components;
• Mandatory Access Control (MAC);
• SELinux Users;
• Role-Based Access Control (RBAC);
• Type Enforcement (TE);
• Security Context;
• Subjects;
• Objects;
• Computing Security Contexts;
• Computing Access Decisions;
• Domain and Object Transitions;
• Multi-Level and Multi-Category Security;
• Types of SELinux Policy;
• Permissive and Enforcing Modes;
• Auditing Events;
• Polyinstantiation Support;
• PAM Login Process;
• Linux Security Module and SELinux;
• Userspace Libraries;
• Networking Support;
• Virtual Machine Support;
• X-Windows Support;
• SE-PostgreSQL Support;
• Apache-Plus Support;
• SELinux Configuration Files;
• SELinux Policy Languages;
• The Reference Policy;
• Hardening SELinux;
• Implementing SELinux-aware Applications;
• Embedded Systems;
• SE for Android;
• Appendix A - Object Classes and Permissions;
• Appendix B - libselinux API Summary;
• Appendix C - SELinux Commands;
• Appendix D - Debugging Policy - Hints and Tips;
• Appendix E - Policy Validation Example.
#SELinux
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥29👍13⚡4❤2
• Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.:
- API Wrapper;
- Blogs;
- Books;
- Build Tools;
- Code and Package Repositories;
- Commandline Productivity;
- Communities;
- Data;
- Documentation Helper;
- Editors and IDEs;
- Frameworks;
- Interactive Learning;
- Logging;
- Module Development Templates;
- Package Managers;
- Parallel Processing;
- Podcasts;
- Security;
- SharePoint;
- SQL Server;
- Testing;
- Themes;
- UI;
- Videos;
- Webserver;
- Misc.
• Не забывайте про дополнительный материал, который опубликован в нашем канале:
- Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
- Полезные заметки о командах PowerShell;
- Мини-курс: Windows PowerShell 5. [Часть 1], [Часть 2];
- Книга: PowerShell Security. (RU).
#PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤8🔥6