Devsecopsguides
Malicious use of OAuth applications
The malicious use of OAuth (Open Authorization) applications poses a significant threat in the realm of cybersecurity, with threat actors exploiting vulnerabilities to compromise user accounts and manipulate permissions for nefarious purposes.
• Network Response Analysis;
• Endpoint Shapes Discovery;
- Common Shapes in OAuth 2.0;
- Application-Specific Shapes;
• OAuth 2.0 Vulnerabilities;
- Open Redirects and Token Theft;
- URL-Parameter-Based Open Redirect;
- Referer-Based Open Redirect;
- Exploiting Redirect Chains;
- Long-Lived Tokens;
- Insecure Redirects;
- Case 1: Attack with URL Parameter;
- Prevention: Method 1 - Use White-Listed Domain;
- Lack of State Check in OAuth;
- Case 1: Attack with State Parameter;
- Prevention: Method 1 - Use State Randomize Parameter;
• Creating Malicious OAuth Applications;
• OAuth Security Checklist;
• AUTHENTICATOR Pattern.
#OAuth #devsecops
@sysadmin1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3❤2
Media is too big
VIEW IN TELEGRAM
📹 Инструкция: настройка контроля доступа и учета рабочего времени на терминале доступа hikvision
@sysadmin1
@sysadmin1
❤3🔥3⚡2
Media is too big
VIEW IN TELEGRAM
Инструкция: как делать отчеты по учету рабочего времени с терминалов доступа hikvision в ivms
@sysadmin1
@sysadmin1
🔥6❤2👍2
> Хьюстон, у нас проблемы ☢️
Масштабный сбой в DNSSEC привёл к отключению интернета у большинства операторов в России. Грубо говоря, сбоят сотни сервисов и сайтов.
Все живы? Подайте признаки жизни!
@sysadmin1
Масштабный сбой в DNSSEC привёл к отключению интернета у большинства операторов в России. Грубо говоря, сбоят сотни сервисов и сайтов.
Все живы? Подайте признаки жизни!
@sysadmin1
😁6🔥2😱2👍1👎1🤔1
Как работает HTTPS?
Безопасный протокол передачи гипертекста
(HTTPS) - это расширение протокола передачи гипертекста (HTTP). HTTPS передает зашифрованные данные с использованием транспортного уровня безопасности (TLS). Если данные будут перехвачены в Интернете, все, что получит угонщик, - это двоичный код.
Как шифруются и дешифруются данные?
Шаг 1 - Клиент (браузер) и сервер устанавливают TCP-соединение.
Шаг 2 - Клиент отправляет серверу " client hello". Сообщение содержит набор необходимых алгоритмов шифрования (наборов шифров) и последнюю версию TLS, которую он может поддерживать. Сервер отвечает " server hello", чтобы браузер знал, может ли он поддерживать алгоритмы и версию TLS.
Затем сервер отправляет SSL-сертификат клиенту. Сертификат содержит открытый ключ, имя хоста, дату истечения срока действия и т. д. Клиент проверяет сертификат.
Шаг 3. После проверки SSL-сертификата клиент генерирует ключ сессии и шифрует его с помощью открытого ключа. Сервер получает зашифрованный ключ сеанса и расшифровывает его с помощью закрытого ключа.
Шаг 4 - Теперь, когда клиент и сервер владеют одним и тем же сеансовым ключом (симметричное шифрование), зашифрованные данные передаются по защищенному двунаправленному каналу.
Почему HTTPS переключается на симметричное шифрование при передаче данных? Есть две основные причины:
1. Безопасность: Асимметричное шифрование работает только в одну сторону. Это означает, что если сервер попытается отправить зашифрованные данные обратно клиенту, любой сможет расшифровать их с помощью открытого ключа.
2. Ресурсы сервера: Асимметричное шифрование добавляет довольно много математических накладных расходов. Оно не подходит для передачи данных в длительных сессиях.
@sysadmin1
Безопасный протокол передачи гипертекста
(HTTPS) - это расширение протокола передачи гипертекста (HTTP). HTTPS передает зашифрованные данные с использованием транспортного уровня безопасности (TLS). Если данные будут перехвачены в Интернете, все, что получит угонщик, - это двоичный код.
Как шифруются и дешифруются данные?
Шаг 1 - Клиент (браузер) и сервер устанавливают TCP-соединение.
Шаг 2 - Клиент отправляет серверу " client hello". Сообщение содержит набор необходимых алгоритмов шифрования (наборов шифров) и последнюю версию TLS, которую он может поддерживать. Сервер отвечает " server hello", чтобы браузер знал, может ли он поддерживать алгоритмы и версию TLS.
Затем сервер отправляет SSL-сертификат клиенту. Сертификат содержит открытый ключ, имя хоста, дату истечения срока действия и т. д. Клиент проверяет сертификат.
Шаг 3. После проверки SSL-сертификата клиент генерирует ключ сессии и шифрует его с помощью открытого ключа. Сервер получает зашифрованный ключ сеанса и расшифровывает его с помощью закрытого ключа.
Шаг 4 - Теперь, когда клиент и сервер владеют одним и тем же сеансовым ключом (симметричное шифрование), зашифрованные данные передаются по защищенному двунаправленному каналу.
Почему HTTPS переключается на симметричное шифрование при передаче данных? Есть две основные причины:
1. Безопасность: Асимметричное шифрование работает только в одну сторону. Это означает, что если сервер попытается отправить зашифрованные данные обратно клиенту, любой сможет расшифровать их с помощью открытого ключа.
2. Ресурсы сервера: Асимметричное шифрование добавляет довольно много математических накладных расходов. Оно не подходит для передачи данных в длительных сессиях.
@sysadmin1
👍4🔥4🗿3🫡1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17🗿2🤯1🙈1
This media is not supported in your browser
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Linux основы
Навигация, на примере ОС UBUNTU 18.04 LTS
Работа с файлами и папками часть 1, на примере ОС UBUNTU 18.04 LTS
Работа с файлами и папками, на примере ОС UBUNTU 18.04 LTS
Правила хорошего тона в назначении имен файлов и директорий.
Директории . и .. в файловой системе. Скрытые файлы и директории.
Linux урок 6. Поиск файлов/директорий/ссылок. Команда find
Linux урок 7. Команды Man, info, ключ --help. Справочная документация команд в Linux.
Linux урок 8. Командная оболочка BASH (BASH SHELL)
Linux урок 9. Файловая система LINUX и ее отличия от WINDOWS
Linux урок 10. Понятие инода, жесткие и символьные ссылки в Linux.
@sysadmin1
Навигация, на примере ОС UBUNTU 18.04 LTS
Работа с файлами и папками часть 1, на примере ОС UBUNTU 18.04 LTS
Работа с файлами и папками, на примере ОС UBUNTU 18.04 LTS
Правила хорошего тона в назначении имен файлов и директорий.
Директории . и .. в файловой системе. Скрытые файлы и директории.
Linux урок 6. Поиск файлов/директорий/ссылок. Команда find
Linux урок 7. Команды Man, info, ключ --help. Справочная документация команд в Linux.
Linux урок 8. Командная оболочка BASH (BASH SHELL)
Linux урок 9. Файловая система LINUX и ее отличия от WINDOWS
Linux урок 10. Понятие инода, жесткие и символьные ссылки в Linux.
@sysadmin1
🔥6👍5❤1