Как вам качество картинки и звука?
Anonymous Poll
65%
Топ
18%
Средне (комментарий оставлю)
17%
Не зашло (комментарий оставлю)
#standoff #poxek
В ноябре 2023 года мир был свидетелем кибербитвы Standoff, которая длилась несколько дней. Пятнадцать команд этичных хакеров провели серию впечатляющих технических ходов. Атакам подверглись все представленные на киберполигоне отрасли.
На нем воссозданы технологические и бизнес-процессы реальных компаний, обеспечивающих жизнедеятельность целых стран: нефтеперерабатывающий завод, банки, МФЦ и многое другое. В минувшем сезоне кибербитвы Standoff в Государстве F появилась новая компания — CosmoLink Labs. По легенде, CosmoLink Labs была создана в качестве инновационного центра для разработки и проведения космических исследований. Появление нового сегмента привлекло внимание мировых киберпреступников, которые решили использовать эту уникальную локацию в своих целях.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cybred
Docker Security – Step-by-Step Hardening
Самый подробный гайд о безопасной настройке Docker в 2024 году. Шаг за шагом руководство обучит харденить докер — цель не просто представить сухой список параметров и готовые фрагменты конфигурации, а расписать все подробно и кратко.
Intro
— Prerequisites
— Secure configuration
Docker Host
— Working Environment
— Configuration audit
— Lynis
— Docker Bench for Security
Docker Daemon
— Access control to Docker Daemon
— Securing docker.sock
— Granting and revoking permissions
— Avoiding privileged mode
— Access to devices
— Blocking the ability to “granting” (acquiring) permissions
— Privilege escalation and Linux namespaces
— Rootless mode
— Container communication (container isolation)
— Read-only mode
— Resource utilization control
— Connecting to a remote Docker Daemon
— Event logging
Containers Security
— Selecting the Right Image
— Docker Content Trust (DCT)
— Using your own images
— Docker build and URL
— “latest” tag
— USER command
— Force UID
— .dockerignore
Automatic images scanning
— Trivy
— Docker Scout
Core
— AppArmor
— Seccomp
— SELinux
Misc
— The final piece of the puzzle – application security
— Docker Desktop Security
— Updating Software
— Additional sources of knowledge – where to find information about vulnerabilities
— History of Changes
— Support & Feedback
Самый подробный гайд о безопасной настройке Docker в 2024 году. Шаг за шагом руководство обучит харденить докер — цель не просто представить сухой список параметров и готовые фрагменты конфигурации, а расписать все подробно и кратко.
Intro
— Prerequisites
— Secure configuration
Docker Host
— Working Environment
— Configuration audit
— Lynis
— Docker Bench for Security
Docker Daemon
— Access control to Docker Daemon
— Securing docker.sock
— Granting and revoking permissions
— Avoiding privileged mode
— Access to devices
— Blocking the ability to “granting” (acquiring) permissions
— Privilege escalation and Linux namespaces
— Rootless mode
— Container communication (container isolation)
— Read-only mode
— Resource utilization control
— Connecting to a remote Docker Daemon
— Event logging
Containers Security
— Selecting the Right Image
— Docker Content Trust (DCT)
— Using your own images
— Docker build and URL
— “latest” tag
— USER command
— Force UID
— .dockerignore
Automatic images scanning
— Trivy
— Docker Scout
Core
— AppArmor
— Seccomp
— SELinux
Misc
— The final piece of the puzzle – application security
— Docker Desktop Security
— Updating Software
— Additional sources of knowledge – where to find information about vulnerabilities
— History of Changes
— Support & Feedback
ReynardSec
Docker Security - Step-by-Step Hardening (Docker Hardening) - ReynardSec
This article provides practical recommendations for configuring Docker platform aimed at increasing its security. It also suggests tools helpful in automation of some tasks related to securing Docker.
#it_ib
Безопасность во многих компаниях стоит особняком. Вместо того чтобы беспокоиться о качестве вашего продукта, безопасники твердят о ГОСТах и ISO, о разных сертификациях и авторизационных протоколах — вещах важных, но вне фокуса основного архитектора. При этом их деятельность «подрывает» производительность, debugability, да вообще все.
Однако есть способы сделать безопасность своим союзником на пути к качеству. В этой статье — о дихотомии разработки и безопасности. О том, что, вообще говоря, миры информационной безопасности и архитектуры ИТ-систем не столь далеки друг от друга, как может показаться. И что на самом деле практики безопасности пересекаются с практиками повышения качества кодовой базы, а ПО можно сделать безопасным без потери качества.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Fusa_Osint_ZOV
Как обойти защиту CloudFlare и узнать настоящий IP-адрес веб-ресурса? #CloudFlare
СПО для обнаружения реального IP-адреса за CloudFlare:
▫️https://github.com/spyboy-productions/CloakQuest3r
▫️https://github.com/m0rtem/CloudFail
▫️https://github.com/zidansec/CloudPeler
Иные продукты для вскрытие CloudFlare:
▫️https://dnsdumpster.com/ или https://pulsedive.com/
▫️https://www.virustotal.com/ (см. вкладку "relations")
▫️https://urlscan.io/ (в случае индексации до включения CloudFlare)
▶️ Подписывайтесь на :
✅ Intel Fusa Osint Edition
СПО для обнаружения реального IP-адреса за CloudFlare:
▫️https://github.com/spyboy-productions/CloakQuest3r
▫️https://github.com/m0rtem/CloudFail
▫️https://github.com/zidansec/CloudPeler
Иные продукты для вскрытие CloudFlare:
▫️https://dnsdumpster.com/ или https://pulsedive.com/
▫️https://www.virustotal.com/ (см. вкладку "relations")
▫️https://urlscan.io/ (в случае индексации до включения CloudFlare)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PurpleBear (Vadim Shelest)
Webhooks SSRF Boomerang
Сегодня хочется немного рассказать про атаки на функциональность
Согласно информации из википедии, вебхуки обычно запускаются каким-либо событием, например, отправкой кода в репозиторий или комментарием, публикуемым в блоге. Когда происходит это событие, исходный сайт отправляет HTTP-запрос на URL-адрес, указанный для вебхука. Пользователи могут настроить их так, чтобы события на одном сайте вызывали действия на другом.
Таким образом, вебхуки буквально окружают нас везде, при заказах товаров на маркетплейсах😎, интеграциях CI/CD, k8s, даже оповещения в любимые чатики в месенджерах реализовано с помощью этой технологии.
На этом закончим с теорией и перейдем к практике. Суть атаки заключается в возможности осуществить редирект вебхука для эксплуатации
Данная атака применима в кейсах, когда тестируемый сервис позволяет регистрировать пользовательские вебхуки на веб-сервере под контролем атакующего с доступом к логам. По ссылке доклад с примером с баг-баунти программы
Сегодня хочется немного рассказать про атаки на функциональность
Webhooks aka User Generated Callbacks. По сути современные веб-приложения невозможно представить без функциональности совершения каких-либо действий при наступлении определенных событий. Согласно информации из википедии, вебхуки обычно запускаются каким-либо событием, например, отправкой кода в репозиторий или комментарием, публикуемым в блоге. Когда происходит это событие, исходный сайт отправляет HTTP-запрос на URL-адрес, указанный для вебхука. Пользователи могут настроить их так, чтобы события на одном сайте вызывали действия на другом.
Таким образом, вебхуки буквально окружают нас везде, при заказах товаров на маркетплейсах😎, интеграциях CI/CD, k8s, даже оповещения в любимые чатики в месенджерах реализовано с помощью этой технологии.
На этом закончим с теорией и перейдем к практике. Суть атаки заключается в возможности осуществить редирект вебхука для эксплуатации
SSRF от имени приложения отправившего этот запрос. Но есть сложность в том, что большинство вебхуков это POST/PUT запросы, а для SSRF нам необходимо отправить GET и для этого можно использовать HTTP 303 See Other, при котором веб-сервер автоматически поменяет метод и отправит GET запрос при перенаправлении.Данная атака применима в кейсах, когда тестируемый сервис позволяет регистрировать пользовательские вебхуки на веб-сервере под контролем атакующего с доступом к логам. По ссылке доклад с примером с баг-баунти программы
Docker Hub, с раскрытием ключей AWS IMDS EKS инфраструктуры при проведении этой атаки.YouTube
NSEC2022- Abhay Bhargav - Hook, Line and Sinker - Pillaging API Webhooks
Webhooks are an important part of modern web services. The techniques showcased here will highlight unique attack vectors that can be used to perform SSRF attacks that can lead to cloud compromise
#devops #k8s #docker
При разработке приложений рано или поздно наступает момент, когда заниматься развёртыванием вручную становится затратно и неудобно. Как следствие на помощь приходит автоматизация этого процесса с помощью специально настроенных пайплайнов непрерывной интеграции и непрерывной доставки (Continuous Integration & Continuous Delivery — CI/CD). Для разных систем управления репозиториями исходного кода существуют свои способы настройки CI/CD.
В этой статье мы рассмотрим, как использовать GitLab для организации автоматической сборки и деплоя приложения в кластер Kubernetes. Сам кластер будет работать под управлением Deckhouse Kubernetes Platform (код приложения и процесс настройки кластера авторы описывали в предыдущей статье цикла), а автоматизировать процесс будем с помощью werf — Open Source CLI-утилиты, организующей полный цикл доставки приложения в Kubernetes и использующей Git как единый источник истины для состояния приложения, развёрнутого в кластере.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Внутрянка
Материал про пентест 1С
Ardent101
Еще 1 раз про пентест 1С
Введение Настоящий материал по большей части состоит из общедоступных наработок других людей. Целью было проверить указанные наработки на практике и собрать получившиеся результаты в одном месте. Именно этим объясняется название статьи.
Продолжу рассуждение…
Продолжу рассуждение…
Forwarded from Standoff 365
На митапе для профи Standoff Talks Анатолий Иванов, руководитель багбаунти Standoff 365, рассказал, как обнаружить необычное поведение в веб-приложении и сконвертировать его в уязвимость.
Предложенный фреймворк поможет сделать это в четыре шага.
Читай и делись с друзьями!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Standoff 365
Photo
Толя, как всегда красив, умён и без ипотеки. Что будет после квартиры? Дача на 100 гектар или яхта?)
🌚8😁5
Forwarded from true_security
Написал немного заметок про zabbix и интересные возможности.
читать
читать
Telegraph
заметки про zabbix
Иногда на тестах есть доступ к заббиксу с ограниченными правами, я покажу некоторые интересные вещи на примере заббикса на standoff365. У нас есть доступ к заббиксу с ограниченными правами, доступен только один хост, как на скрине: В самом заббиксе на мониторинге…
Forwarded from true_security
Дополнение к предыдущему посту, zabbix agent умеет в ключ web.page.get, что собственно может быть использовано как ssrf и обход каких либо ограничений.
Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from КОД ИБ: информационная безопасность
ИБ-Стар(т)
🗓 29 февраля, 12:00 Мск
В этой рубрике мы рассмотрим основные принципы информационной безопасности, перспективы развития данной области, особенности сферы в России, а также ключевые навыки — как технические, так и мягкие — необходимые для успешной карьеры в этом увлекательном и важном направлении.
📚 Механика
— Что такое ИБ?
— Какие перспективы этой области?
— Из чего состоит ИБ в России
— Хард и софт скиллы
— Мотивация в ИБ
— BugBounty программы
🗣 Эксперт
Сергей Зыбнев, специалист по анализу защищенности компании Awillix.
Зарегистрироваться можно тут.
*тем, кто уже состоит в Клубе Код ИБ | ЗУБРЫ Кибербеза или в Код ИБ академии ссылка на встречу придет на почту.
🗓 29 февраля, 12:00 Мск
В этой рубрике мы рассмотрим основные принципы информационной безопасности, перспективы развития данной области, особенности сферы в России, а также ключевые навыки — как технические, так и мягкие — необходимые для успешной карьеры в этом увлекательном и важном направлении.
📚 Механика
— Что такое ИБ?
— Какие перспективы этой области?
— Из чего состоит ИБ в России
— Хард и софт скиллы
— Мотивация в ИБ
— BugBounty программы
🗣 Эксперт
Сергей Зыбнев, специалист по анализу защищенности компании Awillix.
Зарегистрироваться можно тут.
*тем, кто уже состоит в Клубе Код ИБ | ЗУБРЫ Кибербеза или в Код ИБ академии ссылка на встречу придет на почту.