Основные ошибки безопасности, которые приводят к взломам
Интересно, что могут взломать хакеры? Вероятно, любую систему, сайт или почту если есть даже самая незначительная слабость информационной защиты.
Существуют разные способы устранения уязвимостей, а подробнее о них и самих ошибках рассказал Денис Миринец, тимлид команды Security Operations Center:
https://tprg.ru/1nIW
#безопасность
Интересно, что могут взломать хакеры? Вероятно, любую систему, сайт или почту если есть даже самая незначительная слабость информационной защиты.
Существуют разные способы устранения уязвимостей, а подробнее о них и самих ошибках рассказал Денис Миринец, тимлид команды Security Operations Center:
https://tprg.ru/1nIW
#безопасность
👍4
Если хотели попрактиковаться в хакинге, но не знали, с чего начать, держите подборку из 7 ресурсов, на которых можно приобрести и улучшить навыки хакинга.
#безопасность
#безопасность
🔥16
90-дневный план изучения кибербезопасности
Этот репозиторий содержит план обучения на 90 дней, а также ресурсы и материалы для изучения различных концепций и технологий кибербезопасности. Он состоит из ежедневных задач, охватывающих такие темы, как Network+, Security+, Linux, Python, анализ трафика, Git, ELK, AWS, Azure и хакерство.
Если хотите начать изучать эту тему, но не знаете с чего, то это решение точно вам подойдёт: https://github.com/farhanashrafdev/90DaysOfCyberSecurity
#github #безопасность
Этот репозиторий содержит план обучения на 90 дней, а также ресурсы и материалы для изучения различных концепций и технологий кибербезопасности. Он состоит из ежедневных задач, охватывающих такие темы, как Network+, Security+, Linux, Python, анализ трафика, Git, ELK, AWS, Azure и хакерство.
Если хотите начать изучать эту тему, но не знаете с чего, то это решение точно вам подойдёт: https://github.com/farhanashrafdev/90DaysOfCyberSecurity
#github #безопасность
👍4
Введение в Веб-безопасность
В веб-безопасности есть две основные концепции:
1. Никто на 100% не защищён. Никогда.
2. Одного слоя защиты недостаточно.
Поздравляю, вы знакомы с основами безопасности. Шутка, конечно. Чтобы познакомиться хотя бы с основами безопасности, нужно знать гораздо больше.
Эта статья расскажет вам об основных терминах и аббревиатурах, используемых в веб-безопасности такие, как CORS, CSP, HTTPS и так далее. А также, что они на самом деле значат для разработчиков.
#веб #безопасность
В веб-безопасности есть две основные концепции:
1. Никто на 100% не защищён. Никогда.
2. Одного слоя защиты недостаточно.
Поздравляю, вы знакомы с основами безопасности. Шутка, конечно. Чтобы познакомиться хотя бы с основами безопасности, нужно знать гораздо больше.
Эта статья расскажет вам об основных терминах и аббревиатурах, используемых в веб-безопасности такие, как CORS, CSP, HTTPS и так далее. А также, что они на самом деле значат для разработчиков.
#веб #безопасность
👍2
Простыми словами: Как хранятся пароли в базах данных
Пароли в базе данных не хранятся в виде обычного текста, который можно просто прочитать (если код писал адекватный человек). Вместо этого их превращают в специальные зашифрованные коды с помощью процесса, который называется хеширование. Эти коды называются хешами, и они выглядят как случайный набор символов. Главное — из хеша нельзя узнать исходный пароль, но можно проверить, правильный ли пароль ввёл пользователь.
Как это работает?
Когда вы придумываете пароль при регистрации, система его хеширует (превращает в код) и сохраняет этот код в базе данных.
Когда вы входите в систему и вводите пароль, система снова его хеширует и сравнивает с тем кодом, что уже есть в базе. Если они совпадают — вход разрешён.
Почему так делают?
— Безопасность. Если кто-то взломает базу данных, он увидит только хеши, а не настоящие пароли. Без исходного пароля хеши бесполезны для входа.
— Секретность. Даже люди, которые управляют системой, не могут узнать твой пароль.
По сути, пароли в базе — это не сами пароли, а их «закодированные отпечатки». Это как замок, который открывается только правильным ключом, но сам ключ нигде не записан. Даже если базу украдут, твои данные останутся защищёнными.
На картинке выше пример схемы хеширования паролей для хранения в БД.
#простымисловами #безопасность #бд
Пароли в базе данных не хранятся в виде обычного текста, который можно просто прочитать (если код писал адекватный человек). Вместо этого их превращают в специальные зашифрованные коды с помощью процесса, который называется хеширование. Эти коды называются хешами, и они выглядят как случайный набор символов. Главное — из хеша нельзя узнать исходный пароль, но можно проверить, правильный ли пароль ввёл пользователь.
Как это работает?
Когда вы придумываете пароль при регистрации, система его хеширует (превращает в код) и сохраняет этот код в базе данных.
Когда вы входите в систему и вводите пароль, система снова его хеширует и сравнивает с тем кодом, что уже есть в базе. Если они совпадают — вход разрешён.
Почему так делают?
— Безопасность. Если кто-то взломает базу данных, он увидит только хеши, а не настоящие пароли. Без исходного пароля хеши бесполезны для входа.
— Секретность. Даже люди, которые управляют системой, не могут узнать твой пароль.
По сути, пароли в базе — это не сами пароли, а их «закодированные отпечатки». Это как замок, который открывается только правильным ключом, но сам ключ нигде не записан. Даже если базу украдут, твои данные останутся защищёнными.
На картинке выше пример схемы хеширования паролей для хранения в БД.
#простымисловами #безопасность #бд
👍8❤2
Защита API-ключей: как избежать утечек
Мелкий коммит, пара строк в config.js — и через пять минут ваш приватный ключ уже гуляет по GitHub Search. Утечки секретов бьют по счёту в облаке, ломают авторизацию и порой обходятся дороже, чем сам проект.
Ловите чек-лист, который поможет перестать играть в русскую рулетку:
— переносим ключи из кода в переменные окружения;
— регулярно ротируем ключи;
— минимизируем права;
— ведём аудит использования.
А более подробно о причинах возникновения дыр и способах борьбы с ними — в статье.
#безопасность #api
Мелкий коммит, пара строк в config.js — и через пять минут ваш приватный ключ уже гуляет по GitHub Search. Утечки секретов бьют по счёту в облаке, ломают авторизацию и порой обходятся дороже, чем сам проект.
Ловите чек-лист, который поможет перестать играть в русскую рулетку:
— переносим ключи из кода в переменные окружения;
— регулярно ротируем ключи;
— минимизируем права;
— ведём аудит использования.
А более подробно о причинах возникновения дыр и способах борьбы с ними — в статье.
#безопасность #api
👍1
Что такое SOC (Security Operations Center) и как он защищает данные
ИИ-фишинг, ransomware и сотни тысяч логов ежечасно — вручную такое не разгрести. В статье разбираются ключевые роли SOC-команды, инструменты вроде SIEM и EDR, модели работы «in-house» и «as-a-service», а также метрики, по которым оценивают эффективность центра и окупаемость для бизнеса.
За 10 минут чтения вы получите готовые цифры и аргументы, чтобы сократить время реакции в 5-10 раз и сэкономить до 40% бюджета на инциденты.
#безопасность #soc
ИИ-фишинг, ransomware и сотни тысяч логов ежечасно — вручную такое не разгрести. В статье разбираются ключевые роли SOC-команды, инструменты вроде SIEM и EDR, модели работы «in-house» и «as-a-service», а также метрики, по которым оценивают эффективность центра и окупаемость для бизнеса.
За 10 минут чтения вы получите готовые цифры и аргументы, чтобы сократить время реакции в 5-10 раз и сэкономить до 40% бюджета на инциденты.
#безопасность #soc
Hacksplaining: учимся кибербезопасности через реальные атаки
Hacksplaining — это интерактивный тренажёр для изучения уязвимостей веб-приложений. Каждый урок — это не лекция, а реальная атака, которую вы проводите сами в браузере — и сразу же учитесь, как её предотвратить.
Идеально, если вы имеете хоть какой-то опыт программирования и хотите понять, какие дыры реально ломают сайты и как их закрыть.
#безопасность #тренажер
Hacksplaining — это интерактивный тренажёр для изучения уязвимостей веб-приложений. Каждый урок — это не лекция, а реальная атака, которую вы проводите сами в браузере — и сразу же учитесь, как её предотвратить.
Идеально, если вы имеете хоть какой-то опыт программирования и хотите понять, какие дыры реально ломают сайты и как их закрыть.
#безопасность #тренажер
😁4
Собрали пет-проект? Не забудьте его защитить
Многие делают пет-проекты, чтобы попрактиковаться и освоить новые технологии. Но почти никто не думает о безопасности. А зря — утечка токенов, пробитый пайплайн или слитые логи могут обернуться проблемами не только для проекта, но и для всего вашего цифрового окружения.
В этой статье — практичные советы, как защитить пет-проект почти бесплатно, но при этом эффективно:
— управление секретами без боли и утечек;
— безопасность CI/CD — что настроить, чтобы не пустить злоумышленника через Jenkins;
— мониторинг и логирование с помощью бесплатных инструментов;
— бэкапы, чтобы не потерять всё из-за одной команды;
— локальные тоннели — как показать проект внешнему миру и не подставиться;
— чек-лист по инфобезу — можно сохранить и пройтись по каждому пункту.
#петпроекты #безопасность
Многие делают пет-проекты, чтобы попрактиковаться и освоить новые технологии. Но почти никто не думает о безопасности. А зря — утечка токенов, пробитый пайплайн или слитые логи могут обернуться проблемами не только для проекта, но и для всего вашего цифрового окружения.
В этой статье — практичные советы, как защитить пет-проект почти бесплатно, но при этом эффективно:
— управление секретами без боли и утечек;
— безопасность CI/CD — что настроить, чтобы не пустить злоумышленника через Jenkins;
— мониторинг и логирование с помощью бесплатных инструментов;
— бэкапы, чтобы не потерять всё из-за одной команды;
— локальные тоннели — как показать проект внешнему миру и не подставиться;
— чек-лист по инфобезу — можно сохранить и пройтись по каждому пункту.
#петпроекты #безопасность
❤4
Почему «белых хакеров» зовут искать баги и платят за это
Слышали про людей, которым недостатки чужого кода приносят премии, а не бан? В статье рассказали кто такие этичные хакеры, как они спасают проекты и почему компании сами зовут их проверить защиту. Плюс честный рассказ эксперта о закулисье профессии и первые шаги для новичков.
А вы попробовали бы себя в такой роли?
#безопасность #хакинг
Слышали про людей, которым недостатки чужого кода приносят премии, а не бан? В статье рассказали кто такие этичные хакеры, как они спасают проекты и почему компании сами зовут их проверить защиту. Плюс честный рассказ эксперта о закулисье профессии и первые шаги для новичков.
А вы попробовали бы себя в такой роли?
#безопасность #хакинг
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
Как работает токен, сессия, JWT, SSO, OAuth2 и QR-код?
Зачастую при ходе на сайт, возникает необходимость управления вашей учетной записью.
Сессия — сервер сохраняет учетную запись и передает браузеру файл cookie с идентификатором сеанса, что позволяет отслеживать состояние входа в систему. Файлы cookie не работают на разных устройствах.
JWT — веб-токены JSON стандартизируют токены идентификации, используя цифровые подписи для проверки подлинности. Подпись содержится в токене, поэтому сеанс сервера не требуется.
Токен — учетная запись закодирована в токене, отправленном в браузер. Браузер отправляет этот токен при будущих запросах аутентификации. Требуется шифрование и дешифрование.
SSO — система единого входа, использует центральную службу аутентификации, что позволяет одному логину работать на нескольких сайтах.
OAuth2 — разрешает ограниченный доступ к вашим данным на одном сайте другому сайту без разглашения паролей.
#безопасность #простымисловами
Зачастую при ходе на сайт, возникает необходимость управления вашей учетной записью.
Сессия — сервер сохраняет учетную запись и передает браузеру файл cookie с идентификатором сеанса, что позволяет отслеживать состояние входа в систему. Файлы cookie не работают на разных устройствах.
JWT — веб-токены JSON стандартизируют токены идентификации, используя цифровые подписи для проверки подлинности. Подпись содержится в токене, поэтому сеанс сервера не требуется.
Токен — учетная запись закодирована в токене, отправленном в браузер. Браузер отправляет этот токен при будущих запросах аутентификации. Требуется шифрование и дешифрование.
SSO — система единого входа, использует центральную службу аутентификации, что позволяет одному логину работать на нескольких сайтах.
OAuth2 — разрешает ограниченный доступ к вашим данным на одном сайте другому сайту без разглашения паролей.
#безопасность #простымисловами
❤2
Приватность данных: как не нарваться на проблемы разработчику
Казалось бы, гонитесь за фичами, хотите сделать красивый быстрый сайт, но тут всплывают законы и правила обработки данных...
В статье — коротко о том, что следует знать разработчику в 2025 о приватности, какие грабли чаще всего встречаются и как защитить проект (и нервы) заранее.
#безопасность
Казалось бы, гонитесь за фичами, хотите сделать красивый быстрый сайт, но тут всплывают законы и правила обработки данных...
В статье — коротко о том, что следует знать разработчику в 2025 о приватности, какие грабли чаще всего встречаются и как защитить проект (и нервы) заранее.
#безопасность
🔥2