Всем привет!
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.
Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)
👍8❤1
Как найти и выбрать бесплатный сканер уязвимостей?
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners
Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.
Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.
Кстати, подобные страницы есть и у OWASP:
- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools
👍9
Познакомимся? Расскажите чем вы занимаетесь?
Anonymous Poll
17%
Пентестер
12%
Разработчик
12%
Аналитик ИБ
12%
Инженер ИБ
4%
AppSec
4%
DevOps
7%
CISO
4%
CIO/CTO
3%
CEO
26%
Студент
Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
Рассказал про:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.
Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s
YouTube
Как стать этичным хакером — тренинг для карьерного центра НИЯУ МИФИ
Запись тренинга Александра Герасимова, директора по информационной безопасности Awillix, для НИЯУ МИФИ.
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
Тезисы:
— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы…
🔥5
Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
А вы как думаете, дорогие подписчики? :)
https://hightech.fm/2022/05/12/rutube-dead-alive
Хайтек
Rutube жив или мертв? Что произошло с российским видеохостингом, которому «удалили код»
Утром 9 мая 2022 года Rutube подвергся хакерской атаке, об этом говорилось в заявлении на официальном сайте. Позже появилась информация, что в результате кибератаки код сайта оказался «полностью удален» и его не получится восстановить. «Хайтек» разбирается…
👍6
#HighLoadFoundation2022
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
14 мая выступил на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем. 3000 человек из разных регионов обмениваются знаниями о технологиях — это было масштабно :)
Мой доклад не относился к высокой нагрузке и я сильно отличался от других. Но несмотря на это, слушатели были заинтересованными, что, безусловно, приятно. Я рассказал про сканеры кода, про переход от иностранных и коммерческих к отечественным и свободно распространяемым.
Отвечал на вопросы про их разницу и рассказывал, как внедрить подобные решения у себя. Чуть позже (если разрешат организаторы) поделюсь записью выступления и вы тоже сможете найти практические фишки.
Лайк, если интересны посты на тему сканеров.
👍28
Использование фреймворков, библиотек и внешних сервисов для написания, хранения, тестирования и деплоя собственного кода — существенно ускоряет процесс разработки и выхода IT-продукта на рынок. Но это добавляет множество сторонних зависимостей и связанных с ними уязвимостей.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
Анастасия Худоярова, наш ведущий специалист по безопасной разработке, рассказала на TProger, какие SCA-инструменты позволяют проанализировать сторонние зависимости, чтобы поддержать безопасность на всех этапах разработки.
Подробнее — в карточках и статье по ссылке.
👍9🔥1
Как быстро определить поддомены организации
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
Сбор поддоменов — важная часть этапа рекогносцировки в пентестах, анализах защищенности. Также это может помочь организациям обнаружить забытые или ненужные публикации.
Если не хотите ставить утилиты для сбора информации о поддоменах, например, amaas, Sublist3r, можно воспользоваться специальными сервисам:
➜ Project Corbat: очень крутой исследовательский проект компании Rapid7, за секунду выгружает список поддоменов, находит TLD, умеет в Reverse DNS Lookup.
➜ Subdomain Finder: веб-сервис, который за короткое время показывает поддомены компании и определяет, используется ли Cloudfalre.
➜ crt.sh: поиск сертификатов, в которых поле CN совпадает с указанным доменом. Как известно, в поле CN может быть не один домен.
➜ Virustotal: кроме анализа файлов и сайтов на наличие малвари virustotal позволяет увидеть связи между доменным именем, в том числе поддоменов.
Конечно, есть и другие: Censys, Shodan и подобные, но, наверняка, вы о них уже знаете 😉
GitHub
GitHub - owasp-amass/amass: In-depth attack surface mapping and asset discovery
In-depth attack surface mapping and asset discovery - owasp-amass/amass
👍5
Переход от иностранных коммерческих сканеров кода к отечественным и свободно распространяемым
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
— Есть ли достойные бесплатные DAST-решения?
— Как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
— Сканеры безопасности docker-образов: уменьшаем поверхность атаки в несколько шагов.
Доклад с конференции HighLoad Foundation теперь доступен в записи — https://www.youtube.com/watch?v=45IpvUW8P4E
Инджой!
YouTube
Переход от иностранных коммерческих сканеров кода к отечественным / Александр Герасимов (Awillix)
HighLoad++ Foundation 2022
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
Презентация и тезисы: https://highload.ru/foundation/2022/abstracts/8969
* Есть ли достойные бесплатные DAST-решения, как можно писать собственные правила для поиска специфичных уязвимостей в динамике?
* Сканеры безопасности docker…
👍7❤🔥1
Еще видео-контент.
Записали интервью для канала «Галера Морева». Я ответил на все вопросы разработчика о безопасности.
А именно:
— как перейти в ИБ если ты разработчик;
— как устроен мир кибербезопасности, как взаимодействуют команды красных и синих;
— что должны знать разработчики про кибербезопасность;
— основные принципы ИБ: целостность, доступность, конфиденциальность;
— кибербез с точки зрения пользователя и бизнеса;
— что злоумышленник может сделать с данными;
— почему всех беспокоит безопасность персональных данных;
— безопасность как процесс — из чего он состоит;
— о чем стоит думать разработчикам когда они пишут код: окружение, технические уязвимости и уязвимости в бизнес-логике;
— подходы к тестированию ПО: белый, серый, черный ящик;
— аpplication Security;
— как я делаю пентесты :)
— как происходит развитие вектора хакерской атаки;
— какие услуги и продукты существуют на рынке ИБ.
Смотреть по ссылке 👉 https://www.youtube.com/watch?v=sEJVKvMQOwQ
Записали интервью для канала «Галера Морева». Я ответил на все вопросы разработчика о безопасности.
А именно:
— как перейти в ИБ если ты разработчик;
— как устроен мир кибербезопасности, как взаимодействуют команды красных и синих;
— что должны знать разработчики про кибербезопасность;
— основные принципы ИБ: целостность, доступность, конфиденциальность;
— кибербез с точки зрения пользователя и бизнеса;
— что злоумышленник может сделать с данными;
— почему всех беспокоит безопасность персональных данных;
— безопасность как процесс — из чего он состоит;
— о чем стоит думать разработчикам когда они пишут код: окружение, технические уязвимости и уязвимости в бизнес-логике;
— подходы к тестированию ПО: белый, серый, черный ящик;
— аpplication Security;
— как я делаю пентесты :)
— как происходит развитие вектора хакерской атаки;
— какие услуги и продукты существуют на рынке ИБ.
Смотреть по ссылке 👉 https://www.youtube.com/watch?v=sEJVKvMQOwQ
👍4
Многие заказчики наших пентестов думают, что подобрать пароль из 8-12 символов, это сложно и долго. Но это заблуждение.
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?
⠀
За последние несколько лет технологии развились настолько, что огромные вычислительные мощности стали доступными для многих. Например, если злоумышленнику удалось получить базу хешей с паролями, то для их перебора в автоматическом режиме он может использовать «ферму», такую же, как используют майнеры для добычи криптовалюты.
⠀
Недавно мы приобрели себе такую ферму для решения сложных математических задач в рамках своего продукта — Continious Vulnerability Monitoring (CVM). Ферму мы в основном используем для обучения (deep learning) нашей нейронной сети с вычислением функций максимизации через множество различных производных.
⠀
Но это не помешало нам опробовать ферму для перебора базы хешей ntds, выгруженной с домен-контроллера, в одном из текущих пентест-проектов. Скорость перебора хешей на такой ферме впечатляет — порядка 132 миллиарда хешей в секунду.
⠀
Это позволяет подобрать практически все пользовательские пароли, состоящие из слов, комбинации слов или цифр примерно за доли секунды. Использовать различные методики перебора со сложными мутациями.
⠀
Если ваш пароль состоит из нескольких слов, пусть даже самых экзотических, дополнительных букв или цифр — это не гарантия безопасности. Используйте по-настоящему сложные пароли и различные дополнительные меры защиты, например, второй фактор. Видеокарты стремительно дешевеют во всем мире. Кто знает, что использует злоумышленник против вас?
👍11❤🔥4