Безопасная разработка и уязвимости кода. Часть1. Уязвимость
Понятие DevSecOps (как, впрочем, и DevOps) до сих пор трактуют весьма широко, кто-то считает, что направление в разработке ПО, кто-то считает, что такой специалист «на все руки». Но, пожалуй, наиболее подходящим в контексте этой статьи будет следующее определение DevSecOps — это практика интеграции...
Безопасная разработка и уязвимости кода. Часть1. Уязвимость
Понятие DevSecOps (как, впрочем, и DevOps) до сих пор трактуют весьма широко, кто-то считает, что направление в разработке ПО, кто-то считает, что такой специалист «на все руки». Но, пожалуй, наиболее подходящим в контексте этой статьи будет следующее определение DevSecOps — это практика интеграции...
Snort и Suricata — простой путь к использованию IDPS: от установки на сервер до грамотной настройки
Межсетевые экраны — один из первых эшелонов защиты интернет-сервисов с довольно широким функционалом по безопасности. В их состав обычно входит класс решений IDPS, который позволяет с высокой точностью определять нелегитимные запросы и блокировать их. В этом материале рассказываю, что такое системы...
Snort и Suricata — простой путь к использованию IDPS: от установки на сервер до грамотной настройки
Межсетевые экраны — один из первых эшелонов защиты интернет-сервисов с довольно широким функционалом по безопасности. В их состав обычно входит класс решений IDPS, который позволяет с высокой точностью определять нелегитимные запросы и блокировать их. В этом материале рассказываю, что такое системы...
(Не) безопасный дайджест: кража «национальных секретов», неблагонадежный VPN и штраф за любопытство охранников
Собрали подборку ИБ-инцидентов, о которых стало известно в июне. Сегодня в программе: мстительный сотрудник медицинской компании, мегаслив персданных, несостоявшийся вымогатель и инсайдер из Samsung. Читать далее...
(Не) безопасный дайджест: кража «национальных секретов», неблагонадежный VPN и штраф за любопытство охранников
Собрали подборку ИБ-инцидентов, о которых стало известно в июне. Сегодня в программе: мстительный сотрудник медицинской компании, мегаслив персданных, несостоявшийся вымогатель и инсайдер из Samsung. Читать далее...
Тотальный запрет: опыт внедрения Default Deny на живом кластере
Deny-All-политики — один из базовых инструментов повышения безопасности кластеров Kubernetes. Но для многих они остаются «черным ящиком» — не все понимают, как их внедрять и настраивать, а также что делать после интеграции. Еще сложнее, если Default Deny надо внедрить на живом кластере. Читать...
Тотальный запрет: опыт внедрения Default Deny на живом кластере
Deny-All-политики — один из базовых инструментов повышения безопасности кластеров Kubernetes. Но для многих они остаются «черным ящиком» — не все понимают, как их внедрять и настраивать, а также что делать после интеграции. Еще сложнее, если Default Deny надо внедрить на живом кластере. Читать...
Что нам шепчет коинмайнер? Упрощаем анализ применения SysWhispers2
При анализе вредоносного ПО, направленного на майнинг криптовалюты, интереснее всего исследовать именно загрузчики (лоадеры или дроперы) майнеров, чем сами майнеры, так как именно в загрузчиках в первую очередь реализуются техники, направленные на обход средств защиты и противодействие обнаружению....
Что нам шепчет коинмайнер? Упрощаем анализ применения SysWhispers2
При анализе вредоносного ПО, направленного на майнинг криптовалюты, интереснее всего исследовать именно загрузчики (лоадеры или дроперы) майнеров, чем сами майнеры, так как именно в загрузчиках в первую очередь реализуются техники, направленные на обход средств защиты и противодействие обнаружению....
Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасности приложений на примере Telegram
С тех пор как безопасность приложений стала лишь видимостью, она начала очень хорошо продаваться за счёт отсутствия своего содержания и, как следствие, реальных затрат на своё обеспечение. Читать далее...
Теорема об одурачивании людей или как не стоит верить уловкам маркетинга в безопасности приложений на примере Telegram
С тех пор как безопасность приложений стала лишь видимостью, она начала очень хорошо продаваться за счёт отсутствия своего содержания и, как следствие, реальных затрат на своё обеспечение. Читать далее...
История одной XSS в Telegram
Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам...
История одной XSS в Telegram
Здравствуйте, уважаемые читатели Хабра! Сегодня я хочу поделиться с вами информацией о XSS-уязвимости, которую я обнаружил в Telegram около двух недель назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram. Моя цель — не только продемонстрировать вам...
IQ-Openvpn или Openvpn с распределенной маршрутизацией
С каждым днем все больше и больше людей узнают, что такое VPN и начинают им пользоваться, но зачастую все сталкиваются с такой проблемой, что включая VPN мы получаем доступ к заблокированным ресурсам, но в тоже время теряем доступ к ресурсам, которые закрывают свой доступ из других локаций по тем...
IQ-Openvpn или Openvpn с распределенной маршрутизацией
С каждым днем все больше и больше людей узнают, что такое VPN и начинают им пользоваться, но зачастую все сталкиваются с такой проблемой, что включая VPN мы получаем доступ к заблокированным ресурсам, но в тоже время теряем доступ к ресурсам, которые закрывают свой доступ из других локаций по тем...
Место QA в тестировании продукта на безопасность
Привет, меня зовут Дмитрий Крылатков, работаю QA-инженером в компании Doubletapp. Я всегда был заинтересован темой тестирования на безопасность, участвую в bug-bounty программах, а также поднимаю осведомленность о существующих уязвимостях среди команд тестирования и разработки. В статье расскажу,...
Место QA в тестировании продукта на безопасность
Привет, меня зовут Дмитрий Крылатков, работаю QA-инженером в компании Doubletapp. Я всегда был заинтересован темой тестирования на безопасность, участвую в bug-bounty программах, а также поднимаю осведомленность о существующих уязвимостях среди команд тестирования и разработки. В статье расскажу,...