Молчаливый Wazuh — тюнинг, минимизация событий, уведомления в Telegram
Недавно добрался наконец то до изучения Wazuh - чтобы была польза от процесса познания, поставил для теста на небольшой больнице и определил задачи, которые он должен решать: Читать далее...
Поиск потенциальных уязвимостей в коде, часть 1: теория
Риски наличия уязвимостей безопасности всем известны: нарушение работы приложения, потеря данных или их конфиденциальности. В этой статье мы посмотрим на наглядных примерах фундаментальную сторону подхода, при котором уязвимости можно находить ещё на этапе разработки. Читать далее...
Виды аутентификации для современных веб-приложений
Рост популярности веб-приложений в современных технологиях значительно изменил способы взаимодействия пользователей с цифровыми сервисами. Однако с этим увеличением цифровой зависимости возникает и повышенная потребность в надежных механизмах безопасности, особенно в части аутентификации...
Особенности использования сторонних сервисов в мобильных приложениях на примере Firebase
Всем привет! На связи Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей. Сегодня мы затронем очень интересную тему — сервисы Firebase. Поговорим об их применении в мобильных приложениях и о том, как обеспечить их безопасность. Эта статья призвана...
Пуск ПасТильды на Плате Olimex-H407
Существует одна очень замечательная учебно-треннировочная электронная плата Olimex-STM32-H407. В этом тексте я покажу как на этой PCB можно запустить прошивку культового российского аппаратного хранителя паролей Пастильда (Pas~). Читать далее...
PinkHash: Незабываемые розовые хеши
Розовый хеш — это как розовый слон, только хеш. Как превратить ваш обычный скучный хеш в голого эндокринолога, которого уже не забыть! А так же, как сделать свой собственный менеджер паролей, не доверяя пароли никаким внешним сервисам. К эндокринологам и многомерным антихристам...
Карманный Ansible и защита от брутфорс-атак
Настраиваем fail2ban для защиты от перебора паролей на debian серверах с помощью инструмента автоматизации Ansible. Для мобильности сервер Ansible установим на OrangePi и сделаем его спряжение с мобильным телефоном. Читать далее...
RCE-уязвимость в Managed ClickHouse глазами специалиста SOC в Yandex Cloud
Меня зовут Вадим Осипов, я security‑инженер в команде Yandex Cloud. Вместе с моим коллегой Дмитрием Руссаком, тимлидом команды SOC‑инжиниринга, мы занимаемся комплексной безопасностью облака. Архитектура нашей облачной платформы построена так, чтобы не бояться уязвимостей Remote Code Execution в...
[Перевод] Критическая уязвимость с оценкой CVSS 9,9 обнаружена в GNU/Linux
Недавно была обнаружена критическая уязвимость, угрожающая всем системам GNU/Linux, которая позволяет выполнять код удаленно без аутентификации. Проблема затронула такие компании, как Canonical и Red Hat, и получила оценку 9.9 из 10 по шкале CVSS, что подтверждает её серьёзность. Пока патч не...
[Перевод] Безопасность приложений больших языковых моделей (LLM, GenAI)
Откройте для себя OWASP Top 10 для LLM и GenAI и изучите основные стратегии защиты ваших моделей и приложений искусственного интеллекта. Появление больших языковых моделей (LLMs) и технологий генеративного искусственного интеллекта (GenAI), таких как GPT-4, произвело революцию в различных отраслях...
Управление секретами Kubernetes с Sealed Secrets и Helm: GitOps way
В этой статье рассмотрим, как можно организовать простое управление секретами для приложений в Kubernetes при использовании GitOps-подхода. Храним секреты в git безопасно и управляем ими из Helm-чарта приложения. Читать далее...
[Перевод] Атрибут charset и важность его использования
Какие предположения можно сделать относительно следующего HTTP ответа сервера? Глядя на этот небольшой фрагмент HTTP ответа, можно предположить, что веб-приложение, вероятно, содержит уязвимость XSS. Почему это возможно? Что обращает на себя внимание в этом ответе сервера? Вы будете правы, если...
Как безопасность искусственного интеллекта стала заботой DevSecOps
Пока все повально занимаются внедрением ML в SecOps, мы пошли дальше и стали внедрять SecOps в ML. Я Светлана Газизова, работаю в Positive Technologies директором по построению процессов DevSecOps. Кстати, мы знакомы, если вы читали мою статью о том, кто такие специалисты по безопасной разработке и...
Что такое MLSecOps, или Как безопасность искусственного интеллекта стала заботой DevSecOps
Пока все повально занимаются внедрением ML в SecOps, мы пошли дальше и стали внедрять SecOps в ML. Я Светлана Газизова, работаю в Positive Technologies директором по построению процессов DevSecOps. Кстати, мы знакомы, если вы читали мою статью о том, кто такие специалисты по безопасной разработке и...
Разбираемся с новой уязвимостью Android-библиотеки Jetpack Navigation: как открыть любой фрагмент из вашего приложения?
Всем привет! На связи эксперты из Стингрей Технолоджиз – Юрий Шабалин, Веселина Зацепина и Игорь Кривонос. Недавно специалисты из компании Positive Technologies нашли серьезную проблему безопасности в популярной библиотеке для навигации в приложениях Android – Jetpack Compose Navigation. Эта...
Строим свой PAM на основе Teleport
На связи команда Безопасности Wildberries – сегодня расскажем, как построить PAM на основе Teleport. Эту статью по мотивам нашего доклада на PHDays для вас подготовили руководитель департамента информационной безопасности и противодействия мошенничеству Wildberries Антон Жаболенко и руководитель...
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore....
Полное руководство по Suricata: основы и важные команды
Введение Suricata — это многофункциональная и мощная система обнаружения вторжений в сеть (IDS), система предотвращения вторжений (IPS) и инструмент мониторинга сетевой безопасности (NSM). Разработанная Фондом открытой информации безопасности (OISF), Suricata известна своей высокой...