Страница телеграм канала Сайберсекьюрити и Ко.
Сайберсекьюрити и Ко.
23019 подписчиков
Авторский канал Александра Литреева о безопасности в интернете, уязвимостях и прочих радостях жизни. Твиттер: twitter.com/alexlitreev Пожертвования: rocketbank.ru/alexlitreev Реклама: media@litreev.com
Входит в категории:
14.02.2019 20:02
О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).
Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.
14.02.2019 20:02
А это вообще полный смех и издёвка со стороны социальной сети. Либо там работают конченные имбецилы, либо троли. На вредоносной странице исполнялся (!!!) произвольный (!!!) JavaScript-код. Опубликовать пост на странице — не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.
14.02.2019 20:02
Уязвимость ВКонтакте
Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.
Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.
Сам скрипт:
https://github.com/rzhaka/prikol/blob/master/yrap.js
13.02.2019 21:02
Проанализировали принятый в первом чтении законопроект «о суверенности российского интернета». Чего хочет добиться власть и с кого она берёт пример? Возможно ли это технически? Рассказываем в новом лонгриде:
https://medium.com/@libteaclub/dont-tread-on-runet-91b8e35141c0
12.02.2019 12:02
Через три минуты на Эхе Петербурга — технический директор Vee Security Артём Тамоян (@iloveartem) о "перспективах" интернет-суверенитета. Присоединяйтесь!
08.02.2019 23:02
Продолжаем нашу образовательную тематику — теперь для тимлидов.
12 февраля в 20:00 (мск) состоится практический вебинар для тимлидов и IT-менеджеров: https://otus.pw/u2E4/
Вы узнаете о том:
- что считать своей работой?
- как быть с «не своей работой», чтобы не претерпели изменений собственные показатели?
- и как поступить с чужой деятельностью, если все равно заинтересованы в итоговом результате?
Вебинар пройдет в рамках курса «Руководитель разработки».
Регистрируйтесь на трансляцию и проходите вступительный тест в новую группу:
https://otus.pw/05ik/
07.02.2019 13:02
Об очередной "критической уязвимости" в macOS Mojave и журналистах.
Мир рухнул, Apple снова облажалась. Очередной 18-летний сверхразум нашел ужасающую уязвимость в операционной системе macOS Mojave и украл все пароли. Акции упали до исторического минимума и стоят теперь дешевле грязи, Тим Кук вырывает оставшиеся волосы, а датацентры компании в Купертино перешли на резервные источники питания — вращающегося в гробу Джобса.
Если вам тоже кажется это сомнительным, то предлагаю вам прочитать мою заметку по поводу последних новостей — там коротко о том, почему журналисты скатились и обленились в край, а подавляющее большинство читателей жрут всё, чем их кормят.
https://goo.gl/5diFZ2
07.02.2019 10:02
> https://t.me/chipollin0nion/1961
Ыксперты по безопасности не знают разницу между браузером и поисковым движком.
04.02.2019 16:02
Рубрика #поорать:
Чтобы вы понимали, кто нам законы пишет: на официальном сайте Яровой (автора того самого пакета законов, что якобы "про безопасность в интернетах" и "защиту от терроризма") абсолютно детсадовские XSS-уязвимости. Уже не говорю о том, что сам сайт просто истекает сообщениями об ошибках из всех щелей.
29.01.2019 17:01
Продолжаем тему образования в «Сайберсекьюрити и Ко» — теперь для тестировщиков.
Сегодня, 29 января в 20:00 (мск) онлайн День открытых дверей курса «QA-специалист». Регистрируемся: https://otus.pw/f4lb/
А пока есть время до встречи – знакомьтесь с программой и проверяйте свои знания вступительным тестированием: https://otus.pw/HaZJ/
Мы:
Познакомим вас с преподавателем курса, Ниной Деваевой – Senior тестировщиком с ISTQB-сертификацией по стандарту 2018 года, специалистом в области построения и управления QA-командами до 150 человек и просто интересной девушкой, у которой есть чему поучиться.
Расскажем в деталях о курсе, формате обучения, программе трудоустройства и карьерных перспективах выпускников.
Ждем QA-тестировщиков с опытом организации функционального тестирования ПО от 1 года и всех неравнодушных к Quality Assurance.
Готовьте интересующие вас вопросы и задайте их лично преподавателю во время трансляции!
28.01.2019 13:01
16–17 февраля на площадке Digital October в Москве пройдут два интенсива от @binarydistrict_ru и Академии кибербезопасности BI.ZONE.
А для подписчиков канала действует скидка 10% по промокоду alexlitreev
Безопасность веб-приложений
Практический интенсив по безопасности веб-приложений с экспертами из BI.ZONE при поддержке Академии кибербезопасности. Вы узнаете:
- Актуальные киберугрозы для веб-приложений и виды уязвимостей
- Подход к анализу защищенности веб-приложений от А до Я
- Как выявлять уязвимости в веб-приложениях
- Как исправлять уязвимости и разрабатывать безопасные веб-приложения
На интенсиве будет много практики и разбор кейсов из опыта спикеров.
Регистрируйтесь: https://goo.gl/utsuis
Расследование кибератак для бизнеса
Интенсив по компьютерной криминалистике от эксперта Академии кибербезопасности BI.ZONE.
Вы узнаете, какие атаки совершают на корпоративный и частный секторы и научитесь создавать криминалистические образы накопителей и оперативной памяти, восстанавливать и извлекать артефакты работы вредоносного ПО, представлять сценарий проведения атаки и предоставлять рекомендации после расследования.
Помимо этого:
- На курсе будет возможность охватить весь процесс криминалистического анализа инцидента для ОС Windows
- Для прохождения практики будет предоставлен специально подготовленный флеш-накопитель с требуемым ПО
- Вы разберете кейсы из опыта спикера и сможете обсудить собственные
Регистрируйтесь: https://goo.gl/ySwQpr
24.01.2019 14:01
Банк ВТБ запатентовал систему проведения платежей на блокчейне.
Всё-таки он пришёл — блокчейн в российский финтех. Буквально вчера ВТБ получил патент на мультиэмитентную систему расчётов на основе блокчейна.
Что это вообще такое и зачем? Запатентованная новинка позволит ВТБ создавать инструменты для решения задач учета взаиморасчетов между неограниченным количеством участников системы. Позднее, технология станет доступна как физическим, так и юр. лицам, например, банкам и микрокредитным организациям.
В качестве прототипа в ВТБ показали так называемый «Цифровой расчетный сервис» – систему, реализующую P2P-переводы на блокчейне. В соответствии с самой идеей блокчейна, система имеет распределенный реестр, обеспечивающий целостность данных аккаунтов клиентов, а также информации кредитных учреждений (для клиринга и взаимных расчетов).
Расчёты не предполагают использования криптовалют — все транзакции производятся только в фиате (рублях).
Это однозначно важная новость для российского финтех-сектора экономики. Внедрение таких современных технологий как блокчейн в работу крупных финансовых учреждений, коим тот же ВТБ является — хороший признак того, что компании начинают разворачиваться к инновациям. Опыт внедрения блокчейна уже есть у западных соседей. Например, в Эстонии блокчейн используют уже больше 10 лет в масштабах целого государства, внедряя его в самые разные сферы деятельности — от финансовых до медицинских услуг. Здорово, что подобный опыт начинают применять и у нас.
Подробнее:
https://www.kommersant.ru/doc/3861308