Страница телеграм канала Киберпиздец

cybershit logo

Киберпиздец

10150 подписчиков

Полезный канал про технологии и информационную безопасность. Нам не поИБ на ИБ. А вам? О канале: http://telegra.ph/Cybershit-08-14 Связь: @cybrsht_bot


Входит в категории: Технологии
Киберпиздец
22.04.2021 10:04
На правах рекламы: Модель безопасности, основанная на нулевом доверии (Zero Trust), продолжает набирать популярность при построении архитектуры и процессов ИБ. Каждый пользователь или устройство должны подтверждать свои данные всякий раз, когда они запрашивают доступ к ресурсу внутри или за пределами сети. Компания Cisco не осталась в стороне и предлагает собственное облачное решение Cisco Duo, которое уже официально продается в России. • Удобная многофакторная аутентификация (MFA). • Аудит устройств (в том числе и BYOD) перед получением доступа к данным. • Гибкие политики для пользователей и приложений, позволяющие снизить риск нежелательного доступа к ПО и данным вашего бизнеса. • SSO для всех ваших сервисов и пр. Компания Инфосэл предлагает вам попробовать, как Cisco Duo поможет решить ваши задачи, и предоставляет 30 дней бесплатно. Использовать пробную версию Cisco Duo с полной функциональностью и узнать о платформе подробнее можно здесь.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
21.04.2021 14:04
Открытое письмо Дениса Баранова исследовательскому сообществу: «Наши ключевые ценности – открытость информации и знаний для сообщества, ответственный подход к разглашению при исследовании систем на наличие уязвимостей и практический подход к кибербезопасности».
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
12.04.2021 15:04
На правах рекламы: 14 апреля коллеги из Positive Technologies будут показывать свою новую версию песочницы PT Sandbox и разыгрывать бесплатный билет на Positive Hack Days! Фичи PT Sandbox 2.2: • расширили список ПО в виртуалках «из коробки», сделали среду реалистичнее; • завезли «приманки» для злоумышленников; • теперь можно тратить меньше ресурсов на внедрение и поддержку. Помимо этого обещают обзор рынка песочниц, прогнозы на 2021 год с точки зрения кибератак и дискуссию про возможные пути развития технологий в песочницах. Зарегистрируйтесь, чтобы не пропустить мероприятие и, кроме того, принять участие в розыгрыше бесплатного билета на Positive Hack Days!
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
09.04.2021 17:04
Article: Новые взломы на Pwn2Own 2021: побеждены Ubuntu Desktop, Windows 10, Zoom и кое-что еще > https://habr.com/ru/company/selectel/blog/550182/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
08.04.2021 15:04
Делать Infrastructure-as-code (IaC) сейчас модно, главное предварительно ознакомиться с лучшими практиками и не забыть подумать о безопасности. Для последнего существует несколько бесплатных утилит, как для конкретного решения, так и комплексных (например checkov). Компания Checkmarx, многим известная своим SAST решением для анализа исходного кода, тоже решила сделать вклад в комьюнити и выпустила собственное opensource решение для статического анализа конфигураций — Keeping Infrastructure as Code Secure (KICS). Поддерживает: Terraform, Kubernetes, Docker, Ansible, Helm и AWS CloudFormation. А еще есть неплохая документация и запланированный на 15 апреля вебинар, где обещают рассказать о решении подробнее. KICS > https://www.checkmarx.com/opensource/kics/ Docs > https://docs.kics.io Git > https://github.com/Checkmarx/kics Webinar > https://register.gotowebinar.com/register/3720624616764432144
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
08.04.2021 08:04
На правах рекламы: Обучающие вебинары VMware продолжаются. Если вы еще думаете, что VMware это про виртуализацию — вы сильно заблуждаетесь, портфель компании давно включает решения в области сетей, информационной безопасности, мониторингу и запуску приложений, облачных технологий, миграции, организации удаленной работы и пр. Каждый вторник и четверг с 16 марта по 1 июня, в 11:00 по МСК, на вебинарах VMware будут рассказывать: • какие новые технологии в области виртуализации и информационной безопасности нас ждут; • про организацию сети предприяти и подход реализации ИБ в SDDC; • какие инструменты есть у VMware для управления частными и гибридными облаками; • почему важно следить за использованием ресурсов и при чем здесь инструменты IaC; • как оптимизировать работу удаленных сотрудников с популярными SaaS сервисами (Teams, Office, *-Drive). Участие бесплатно, а программу вы можете гибко выбирать под себя и посещать только те вебинары, которые вам интересны. Кроме того, в конце каждого вебинара разыгрываются призы. Зарегистрироваться: https://via.vmw.com/ERke Прошедшие вебинары можно посмотреть на YouTube-канале VMware: https://youtube.com/playlist?list=PLSHgmTQvHHVFg6C-d6_ncX8O0buyY0Jce
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
31.03.2021 11:03
На правах рекламы: VMware приглашает принять участие в обучающих вебинарах. Если вы еще думаете, что VMware это про виртуализацию — вы сильно заблуждаетесь, портфель компании давно включает решения в области сетей, информационной безопасности, мониторингу и запуску приложений, облачных технологий, миграции, организации удаленной работы и пр. Каждый вторник и четверг с 16 марта по 1 июня, в 11:00 по МСК, на вебинарах VMware будут рассказывать: • какие новые технологии в области виртуализации и информационной безопасности нас ждут; • про организацию сети предприяти и подход реализации ИБ в SDDC; • какие инструменты есть у VMware для управления частными и гибридными облаками; • почему важно следить за использованием ресурсов и при чем здесь инструменты IaC; • как оптимизировать работу удаленных сотрудников с популярными SaaS сервисами (Teams, Office, *-Drive). Участие бесплатно, а программу вы можете гибко выбирать под себя и посещать только те вебинары, которые вам интересны. Общая информация | Регистрация: 1 Часть и 2 Часть
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
29.03.2021 10:03
На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect. > https://portswigger.net/research/hidden-oauth-attack-vectors Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности: https://portswigger.net/web-security/oauth https://portswigger.net/web-security/oauth/openid https://www.polarsparc.com/xhtml/OAuth2-OIDC.html https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1 https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
24.03.2021 21:03
1. Брутфорс аккаунта - прямой (безлимит) - горизонтальный - cred stuffing 2. Брут пинкодов - брут в “лоб” - брут с ротацией IP - запрашиваем от 1+кк аккаунтов код и пробуем один и тот же код 3. восстановление акков - подмена хоста на восстановлении - смена пароля или емейла без CSRF - раскрытие токена при восстановлении акка 4. oauth - привязка без CSRF (state) 5. мобилки - одинаковая схема 6. session confusion 7. cache deception 8. логические баги (слушайте эфир) 9. доп скопы в oauth 10. юз одного токена к чужому акку
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
24.03.2021 21:03
001_07.03.21 - Account Hijacking
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
17.03.2021 09:03
Вчера на хабре вышла неплохая статья про ошибки в конфигурации Nginx без указания авторства, но на самом деле это просто перевод материала годичной давности, написанный командой Detectify, которые и проводили это исследование. Кстати, в феврале этого года Франс Розен, один из исследователей Detectify, опубликовал продолжение, рассмотрев некоторые новые проблемы в конфигурациях веб-серверов и лишний раз напомнил всем об утилитке Gixy для статического анализа мисконфигов Nginx. Раз> https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/ Два> https://labs.detectify.com/2021/02/18/middleware-middleware-everywhere-and-lots-of-misconfigurations-to-fix/ Три> https://habr.com/ru/company/cloud4y/blog/547164/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Киберпиздец
16.03.2021 10:03
На правах рекламы: Сетевые песочницы: Ваш опыт Positive Technologies проводит исследование о том, как ИБ-специалисты используют продукты класса Sandbox (песочница) и просят анонимно ответить на несколько вопросов: какие задачи и каким образом решают, находят ли реальные угрозы и пр. Если вы работаете с сетевой песочницей любого вендора, предлагаю помочь коллегам и поделиться своим опытом по ссылке: https://ru.surveymonkey.com/r/2ZG3MRY Отчет по результатам исследования будет опубликован на сайте Positive Technologies.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме